www.zonamovilidad.es
Por Alfonso de Castañeda
x
alfondcctelycom4com/8/8/17
miércoles 05 de septiembre de 2018, 19:34h

Escucha la noticia

El malware Ramnit, una avanzada herramienta para cibercriminales con funcionalidades de rootkit, ya ha conseguido infectar más de 100.000 ordenadores desde marzo.

Según los analistas de la firma de ciberseguridad Check Point, el malware logra evitar los antivirus que no lo detectan y cuenta además con inyección web y uso de comunicaciones cifradas. Con el centro de Comando y Control

Una nueva campaña masiva del malware Ramnit ha conseguido infectar más de 100.000 dispositivos. Este gusano fue detectado por primera vez en 2011 y afecta a sistemas operativos Windows. Entre otras, se ha utilizado para monitorización de la navegación web del sistema y detección de la visista de sitios de banca online; manipulación de webs de banca online para parecer legítimas; robo de cookies de sesión en los navegadores web para suplantación de la víctima; escaneo de discos duros del ordenadores, así como robo de archivos en base a palabras clave, como contraseñas; acceso de forma remota a los dispositivos infectados; y recopilación de las credenciales de acceso de clientes FTP.

Ramnit y su nueva botnet

El troyano Ramnit hace que los equipos infectados operen como una botnet altamente centralizada, aunque su arquitectura implica la división en otras redes independientes. Sin embargo, recientemente ha sido descubierto un servidor de Ramnit que no está relacionado con ‘Demetra’, la botnet anteriormente más usada por el virus.

Según los nombres del dominio que se resuelven en la dirección IP del servidor, pretende controlar también los bots antiguos, vistos por primera vez en 2015. Según los datos que aporta Check Point, el servidor ha estado desde el 6 de marzo de 2018, pero no ha llamado la atención hasta que se ha conocido que entre mayo y julio infecto a 100.000 ordenadores.

Se han detectado muestras de Ngioweb en Ramnit en ataques binarios que “probablemente se hayan difundido en campañas de spam"

Entre las principales características de esta nueva botnet, destaca que muchas muestras usan nombres de dominio codificados en lugar de DGA (Algoritmo de Generación de Dominios); además, el servidor no carga módulos como VNC, robo de contraseñas o FtpGrabber; y también se ha conocido que los módulos adicionales (FTPServer, WebInjects) están integrados en un paquete con Ramnit; finalmente, destaca que Ramnit se usa como instalador de otro malware, Ngioweb.

Y es que según informa la firma de ciberseguridad israelí, se han detectado muestras de Ngioweb en Ramnit en ataques binarios que “probablemente se hayan difundido en campañas de spam. Sin embargo, Ngioweb se distribuye principalmente a través de la botnet ‘Black’”, explican.

El virus crea una cadena de procesos para inyectar su código en los dispositivos objetivo. En primer lugar, inyecta el código en el proceso recién creado usando una técnica de ‘process hollowing’ o vaciado de procesos, en castellano. Tras ello, el malware recurre a una aplicación predeterminada para abrir archivos con la extensión .html y es entonces cuando realiza las principales acciones maliciosas.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)

+
0 comentarios