Vírus Ramnit já infetou mais de 100mil dispositivos.

  A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder especializado em cibersegurança, anuncia a nova campanha massiva do malware Ramnit, que já infetou mais de 100 mil dispositivos. Os utilizadores e as empresas devem tomar precauções perante este possível ataque de grande escala dos criadores do vírus.

Este malware é uma ferramenta avançada com funções de rootkit para os cibercriminosos. Não é detetável pelos antivírus, e acontece por inserção na internet e pela utilização de comunicações encriptadas.

O Ramnit é um worm que foi detetado pela primeira vez em 2011 e que afeta os sistemas operativos Windows. Já foi utilizado par a realização de atividades criminosas, como por exemplo:

• A monitorização da navegação web do sistema infetado e detetar visitas a páginas de banca online.
• Manipulação de páginas web de bancos com o objetivo de parecerem legítimas 
• Roubo de cookies de sessão de browsers para poder substituir a vítima em sites seguros. 
• Monitorização dos discos rígidos do computador, assim como roubar ficheiros com palavras chave (como paswords)
• Acesso de forma remota aos computadores afetados.
• Recompilação das credenciais de acesso de clientes FTP.

Os investigadores da Check Point continuam a monitorizar a campanha. Até agora foram encontrados:

"Black", o novo botnet do Ramnit

O trojan Ramnit faz com os dispositivos infetados operem como um botnet altamente centralizado, mesmo que a sua arquitetura implique uma divisão noutras redes independentes.

Recentemente, foi encontrado um servidor do Ramnit que não está relacionado com o "Demetra" o botnet que foi mais utilizado pelo worm. De acordo com os nomes do domínio em que é resolvida a direção do IP do servidor, este pretende controlar também bots antigos que foram detetados pela primeira vez em 2015.

Este servidor está ativo desde 6 de março de 2018, mas não tinha chamado à atenção até que em maio e julho cerca de 100mil computadores foram infetados.

Este botnet tem características distintas:

• Muitas amostras utilizam nomes de domínios codificados em vez do DGA (Algoritmo de Geração de Domínios).
• O servidor não carrega módulos como o VNC e rouba passwords ou efetua FtpGrabber.
• Os módulos adicionais (FTPServer, WebInjects) estão integrados num kit de Ramnit.
• O Ramnit é utilizado como instalador de outro malware com o nome de Ngioweb.

A Check Point já detetou sinais do Ngioweb inseridas no Ramnit em ataques binários que provavelmente foram difundidos como campanhas de spam. No entanto, o Ngioweb é distribuído principalmente através do botnet "Black".

Análise do Malware

O vírus cria uma cadeia de processos para inserir o código nos dispositivos. Em primeiro lugar, insere um código no processo recém-criado ao utilizar uma técnica de esvaziamento dos processos ("process hollowing"). Depois, o malware recorre a uma aplicação predeterminada para abrir ficheiro com a extensão .html, e realiza as principais ações maliciosas.

Os analistas da Check Point apresentam uma análise completa sobre o malware no seu blog.