Connect with us

Segurança

Vírus Ramnit já controla mais de 100 mil dispositivos

Bruno Fonseca

Publicado a

A Check Point revelou ao mundo uma nova campanha massiva do malware Ramnit, que já infetou mais de 100 mil dispositivos. Os utilizadores e as empresas devem tomar precauções perante este possível ataque de grande escala dos criadores do vírus.

Este malware é uma ferramenta avançada com funções de rootkit para os cibercriminosos. Não é detetável pelos antivírus, e acontece por inserção na internet e pela utilização de comunicações encriptadas.

O Ramnit é um worm que foi detetado pela primeira vez em 2011 e que afeta os sistemas operativos Windows. Já foi utilizado par a realização de atividades criminosas, como por exemplo:

  • A monitorização da navegação web do sistema infetado e detetar visitas a páginas de banca online.
  • Manipulação de páginas web de bancos com o objetivo de parecerem legítimas
  • Roubo de cookies de sessão de browsers para poder substituir a vítima em sites seguros.
  • Monitorização dos discos rígidos do computador, assim como roubar ficheiros com palavras chave (como paswords)
  • Acesso de forma remota aos computadores afetados.
  • Recompilação das credenciais de acesso de clientes FTP.

“Black”, o novo botnet do Ramnit

O trojan Ramnit faz com os dispositivos infetados operem como um botnet altamente centralizado, mesmo que a sua arquitetura implique uma divisão noutras redes independentes.

Recentemente, foi encontrado um servidor do Ramnit que não está relacionado com o “Demetra” o botnet que foi mais utilizado pelo worm. De acordo com os nomes do domínio em que é resolvida a direção do IP do servidor, este pretende controlar também bots antigos que foram detetados pela primeira vez em 2015.

Este servidor está ativo desde 6 de março de 2018, mas não tinha chamado à atenção até que em maio e julho cerca de 100mil computadores foram infetados.

Este botnet tem características distintas:

  • Muitas amostras utilizam nomes de domínios codificados em vez do DGA (Algoritmo de Geração de Domínios).
  • O servidor não carrega módulos como o VNC e rouba passwords ou efetua FtpGrabber.
  • Os módulos adicionais (FTPServer, WebInjects) estão integrados num kit de Ramnit.
  • O Ramnit é utilizado como instalador de outro malware com o nome de Ngioweb.

A Check Point já detetou sinais do Ngioweb inseridas no Ramnit em ataques binários que provavelmente foram difundidos como campanhas de spam. No entanto, o Ngioweb é distribuído principalmente através do botnet “Black”.

Análise do Malware

O vírus cria uma cadeia de processos para inserir o código nos dispositivos. Em primeiro lugar, insere um código no processo recém-criado ao utilizar uma técnica de esvaziamento dos processos (“process hollowing”). Depois, o malware recorre a uma aplicação predeterminada para abrir ficheiro com a extensão .html, e realiza as principais ações maliciosas.

Fundador da Leak, estreou-se no online em 1999 quando criou a CDRW.co.pt. Deu os primeiros passos no mundo da tecnologia com o Spectrum 48K e nunca mais largou os computadores. É viciado em telemóveis, tablets e gadgets.

Clique para comentar

Leave a Reply

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.

Advertisement

Últimas Notícias

Eventos10 horas atrás

Saphety marca presença em vários eventos nacionais e internacionais

A Saphety com mais de 18 anos de experiência no mercado, é presença assídua a convite de várias entidades em...

Notícias1 dia atrás

Noesis expande portefólio e apresenta a nova solução de RPA

A Noesis continua a apostar na diversificação da sua oferta de soluções tecnológicas. Neste sentido, anuncia o alargamento da sua...

Notícias1 dia atrás

PayPal Checkout expande-se para todo o Mundo

O PayPal continua a criar soluções para o comércio global de forma a ajudar os seus milhões de utilizadores e...

Notícias1 dia atrás

Inovação da HP alimenta o futuro do retalho

A HP anunciou um novo portfólio de equipamentos e de serviços concebidos melhorar a experiência no ponto de venda. O...

Notícias6 dias atrás

Ábaco Consultores quer encontrar a App mais inovadora

A Ábaco Consultores criou um novo concurso dirigido a pessoas individuais, equipas ou StartUps. O objetivo é selecionar a APP mais inovadora...

Notícias6 dias atrás

BI4ALL reforça investimento na região Norte

A BI4ALL reforçou a sua presença, agora, na região norte com a abertura de um novo escritório no Grande Porto,...

Segurança6 dias atrás

ThinkShield: A solução da Lenovo que quer blindar as empresas

O ano passado foi o ano com mais violações de dados, até à data, com 2,6 mil milhões de registos...

Notícias6 dias atrás

Banco Credibom vence Prémio Inovação Outsystems NextStep

O Banco Credibom venceu o Prémio Inovação Outsystems NextStep, devido à implementação de uma solução Glintt, denominada Enterprise Project Management...