Este malware es una avanzada herramienta para cibercriminales con funcionalidades de rootkit. Los antivirus no lo detectan, cuenta con inyección web y uso de comunicaciones cifradas.

Check Point, proveedor especializado en ciberseguridad, ha informado sobre una nueva campaña masiva del malware Ramnit, que ya cuenta con más de 100.000 dispositivos infectados. Usuarios y empresas deben tomar precauciones ante una posible operación a gran escala de los creadores del virus. 

Este malware es una herramienta avanzada para cibercriminales con funcionalidades de rootkit. Los antivirus no lo detectan, cuenta con inyección Web y uso de comunicaciones cifradas con el centro de Comando y Control.

Ramnit es un gusano detectado por primera vez en 2011 que afecta a sistemas operativos Windows. Se ha utilizado para realizar actividades criminales, entre las que se pueden destacar:

  • Monitorización de la navegación web del sistema infectado y detección de la visita de sitios de banca online
  • Manipulación de webs de banca online con el objetivo de parecer legítimas
  • Robo de cookies de sesión de los navegadores web para poder suplantar a la víctima en sitios seguros
  • Escaneo de los discos duros del ordenador, así como robo de archivos en base a palabras clave (como contraseñas)
  • Acceso de forma remota a los ordenadores afectados
  • Recopilación de las credenciales de acceso de clientes FTP

Los profesionales de Check Point continúan monitorizando esta campaña. Hasta el momento, estos son sus hallazgos:

«Black», la nueva botnet de Ramnit

El troyano Ramnit hace que los equipos infectados operen como una botnet altamente centralizada, aunque su arquitectura implica la división en otras redes independientes.

Recientemente fue descubierto un servidor de Ramnit que no está relacionado con «Demetra», la botnet anteriormente más utilizada por el gusano. Según los nombres del dominio que se resuelven en la dirección IP de este servidor, pretende controlar también los bots antiguos, que se vieron por primera vez en 2015.

Este servidor ha estado activo desde el 6 de marzo de 2018 pero no ha llamado la atención hasta ahora debido a que entre mayo y julio infectó a cerca de 100.000 ordenadores.

Hay varias características de esta botnet:

  • Muchas muestras usan nombres de dominio codificados en lugar de DGA (Algoritmo de Generación de Dominios)
  • El servidor no carga módulos como VNC, robo de contraseñas o FtpGrabber
  • Los módulos adicionales (FTPServer, WebInjects) están integrados en un paquete con Ramnit
  • Ramnit se usa como instalador de otro malware llamado Ngioweb

Check Point ha detectado muestras de Ngioweb incluidas en Ramnit en ataques binarios que probablemente se hayan difundido en campañas de spam. Sin embargo, Ngioweb se distribuye principalmente a través de la botnet «Black»

Análisis del Malware

El virus crea una cadena de procesos para inyectar su código en los dispositivos objetivo. En primer lugar, inyecta su código en el proceso recién creado utilizando una técnica de vaciado de procesos (“process hollowing”). A continuación, el malware recurre a una aplicación predeterminada para abrir archivos con la extensión .html, y realiza las principales acciones maliciosas.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio