Este malware es una avanzada herramienta para cibercriminales con funcionalidades de rootkit. Los antivirus no lo detectan, cuenta con inyección web y uso de comunicaciones cifradas.
Check Point, proveedor especializado en ciberseguridad, ha informado sobre una nueva campaña masiva del malware Ramnit, que ya cuenta con más de 100.000 dispositivos infectados. Usuarios y empresas deben tomar precauciones ante una posible operación a gran escala de los creadores del virus.
Este malware es una herramienta avanzada para cibercriminales con funcionalidades de rootkit. Los antivirus no lo detectan, cuenta con inyección Web y uso de comunicaciones cifradas con el centro de Comando y Control.
Ramnit es un gusano detectado por primera vez en 2011 que afecta a sistemas operativos Windows. Se ha utilizado para realizar actividades criminales, entre las que se pueden destacar:
- Monitorización de la navegación web del sistema infectado y detección de la visita de sitios de banca online
- Manipulación de webs de banca online con el objetivo de parecer legítimas
- Robo de cookies de sesión de los navegadores web para poder suplantar a la víctima en sitios seguros
- Escaneo de los discos duros del ordenador, así como robo de archivos en base a palabras clave (como contraseñas)
- Acceso de forma remota a los ordenadores afectados
- Recopilación de las credenciales de acceso de clientes FTP
Los profesionales de Check Point continúan monitorizando esta campaña. Hasta el momento, estos son sus hallazgos:
«Black», la nueva botnet de Ramnit
El troyano Ramnit hace que los equipos infectados operen como una botnet altamente centralizada, aunque su arquitectura implica la división en otras redes independientes.
Recientemente fue descubierto un servidor de Ramnit que no está relacionado con «Demetra», la botnet anteriormente más utilizada por el gusano. Según los nombres del dominio que se resuelven en la dirección IP de este servidor, pretende controlar también los bots antiguos, que se vieron por primera vez en 2015.
Este servidor ha estado activo desde el 6 de marzo de 2018 pero no ha llamado la atención hasta ahora debido a que entre mayo y julio infectó a cerca de 100.000 ordenadores.
Hay varias características de esta botnet:
- Muchas muestras usan nombres de dominio codificados en lugar de DGA (Algoritmo de Generación de Dominios)
- El servidor no carga módulos como VNC, robo de contraseñas o FtpGrabber
- Los módulos adicionales (FTPServer, WebInjects) están integrados en un paquete con Ramnit
- Ramnit se usa como instalador de otro malware llamado Ngioweb
Check Point ha detectado muestras de Ngioweb incluidas en Ramnit en ataques binarios que probablemente se hayan difundido en campañas de spam. Sin embargo, Ngioweb se distribuye principalmente a través de la botnet «Black»
Análisis del Malware
El virus crea una cadena de procesos para inyectar su código en los dispositivos objetivo. En primer lugar, inyecta su código en el proceso recién creado utilizando una técnica de vaciado de procesos (“process hollowing”). A continuación, el malware recurre a una aplicación predeterminada para abrir archivos con la extensión .html, y realiza las principales acciones maliciosas.