Android Geek
O maior site de Android em Português

Vírus Ramnit já infetou mais de 100mil dispositivos.

 A Check Point® Software Technologies Ltd. (NASDAQ:

 A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder especializado em cibersegurança, anuncia a nova campanha massiva do malware Ramnit, que já infetou mais de 100 mil dispositivos. Os utilizadores e as empresas devem tomar precauções perante este possível ataque de grande escala dos criadores do vírus.

Malware virus

Este malware é uma ferramenta avançada com funções de rootkit para os cibercriminosos. Não é detetável pelos antivírus, e acontece por inserção na internet e pela utilização de comunicações encriptadas.

O Ramnit é um worm que foi detetado pela primeira vez em 2011 e que afeta os sistemas operativos Windows. Já foi utilizado par a realização de atividades criminosas, como por exemplo:

A monitorização da navegação web do sistema infetado e detetar visitas a páginas de banca online.
Manipulação de páginas web de bancos com o objetivo de parecerem legítimas
Roubo de cookies de sessão de browsers para poder substituir a vítima em sites seguros.
Monitorização dos discos rígidos do computador, assim como roubar ficheiros com palavras chave (como paswords)
Acesso de forma remota aos computadores afetados.
Recompilação das credenciais de acesso de clientes FTP.

Os investigadores da Check Point continuam a monitorizar a campanha. Até agora foram encontrados:

“Black”, o novo botnet do Ramnit

O trojan Ramnit faz com os dispositivos infetados operem como um botnet altamente centralizado, mesmo que a sua arquitetura implique uma divisão noutras redes independentes.

Recentemente, foi encontrado um servidor do Ramnit que não está relacionado com o “Demetra” o botnet que foi mais utilizado pelo worm. De acordo com os nomes do domínio em que é resolvida a direção do IP do servidor, este pretende controlar também bots antigos que foram detetados pela primeira vez em 2015.

Este servidor está ativo desde 6 de março de 2018, mas não tinha chamado à atenção até que em maio e julho cerca de 100mil computadores foram infetados.

Este botnet tem características distintas:

Muitas amostras utilizam nomes de domínios codificados em vez do DGA (Algoritmo de Geração de Domínios).
O servidor não carrega módulos como o VNC e rouba passwords ou efetua FtpGrabber.
Os módulos adicionais (FTPServer, WebInjects) estão integrados num kit de Ramnit.
O Ramnit é utilizado como instalador de outro malware com o nome de Ngioweb.

A Check Point já detetou sinais do Ngioweb inseridas no Ramnit em ataques binários que provavelmente foram difundidos como campanhas de spam. No entanto, o Ngioweb é distribuído principalmente através do botnet “Black”.

Análise do Malware

O vírus cria uma cadeia de processos para inserir o código nos dispositivos. Em primeiro lugar, insere um código no processo recém-criado ao utilizar uma técnica de esvaziamento dos processos (“process hollowing”). Depois, o malware recorre a uma aplicação predeterminada para abrir ficheiro com a extensão .html, e realiza as principais ações maliciosas.

Os analistas da Check Point apresentam uma análise completa sobre o malware no seu blog.

Blog: http://blog.checkpoint.com

Partilhem com os vossos amigos e ajudem este projecto em Português.

Obrigado pela visita!

Este Website usa cookies para providenciar uma melhor experiência. Pode recusar se desejar. Aceitar Saber Mais

Partilhem com os vossos amigos e ajudem este projecto em Português.

Obrigado pela visita!
close-link