2018-9-11

SEGURANÇA

Ramnit, nova campanha massiva de malware já infetou 100 mil dispositivos

Este malware é uma sofisticada ferramenta com funções de um rootkit. Não é detetável pelos antivírus, e acontece por inserção na web e pela utilização de comunicações encriptadas.

A nova campanha massiva do malware Ramnit já infetou mais de 100 mil dispositivos, avança a Check Point. Os utilizadores e as empresas devem tomar precauções perante este possível ataque de grande escala.

Este malware é uma ferramenta avançada com funções de rootkit para os cibercriminosos. Não é detetável pelos antivírus, e acontece por inserção na internet e pela utilização de comunicações encriptadas.

O Ramnit é um worm que foi detetado pela primeira vez em 2011 e que afeta o Windows. Já foi utilizado para realização de atividades criminosas, como por exemplo monitorização da navegação web do sistema infetado e detetar visitas a páginas de banca online; manipulação de páginas web de bancos com o objetivo de parecerem legítimas; roubo de cookies de sessão de browsers para poder substituir a vítima em sites seguros; monitorização dos discos rígidos do computador, assim como roubar ficheiros com palavras-chave.

 

“Black”, o novo botnet do Ramnit

O trojan Ramnit faz com que os dispositivos infetados operem como um botnet altamente centralizado, mesmo que a sua arquitetura implique uma divisão noutras redes independentes.

Recentemente, foi encontrado um servidor do Ramnit que não está relacionado com o “Demetra” o botnet que foi mais utilizado pelo worm. De acordo com os nomes do domínio em que é resolvida a direção do IP do servidor, este pretende controlar também bots antigos que foram detetados pela primeira vez em 2015.

Este servidor está ativo desde 6 de março de 2018, mas não tinha chamado à atenção até que em maio e julho cerca de 100 mil computadores foram infetados.

Este botnet tem características distintas:

Muitas amostras utilizam nomes de domínios codificados em vez do DGA (Algoritmo de Geração de Domínios). O servidor não carrega módulos como o VNC e rouba passwords ou efetua FtpGrabber.

Os módulos adicionais (FTPServer, WebInjects) estão integrados num kit de Ramnit.
O Ramnit é utilizado como instalador de outro malware com o nome de Ngioweb.

A Check Point já detetou sinais do Ngioweb inseridas no Ramnit em ataques binários que provavelmente foram difundidos como campanhas de spam. No entanto, o Ngioweb é distribuído principalmente através do botnet “Black”.

O vírus cria uma cadeia de processos para inserir o código nos dispositivos. Em primeiro lugar, insere um código no processo recém-criado ao utilizar uma técnica de esvaziamento dos processos (“process hollowing”). Depois, o malware recorre a uma aplicação predeterminada para abrir ficheiro com a extensão .html, e realiza as principais ações maliciosas.

 

Recomendado pelos leitores

Kaspersky Lab lança competição para encontrar fraquezas nos dispositivos de IoT
SEGURANÇA

Kaspersky Lab lança competição para encontrar fraquezas nos dispositivos de IoT

LER MAIS

5 conselhos para manter as empresas longe do ransomware
SEGURANÇA

5 conselhos para manter as empresas longe do ransomware

LER MAIS

Check Point reconhecida pela Gartner em Enterprise Network Firewalls
SEGURANÇA

Check Point reconhecida pela Gartner em Enterprise Network Firewalls

LER MAIS

IT CHANNEL Nº 52 Novembro 2018

IT CHANNEL Nº 52 Novembro 2018

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.