Check Point ha informado sobre una nueva campaña masiva del malware Ramnit, que ya cuenta con más de 100.000 dispositivos infectados. Ramnit es un gusano detectado por primera vez en 2011 que afecta a sistemas operativos Windows. Este malware es una herramienta avanzada para cibercriminales con funcionalidades de rootkit. Los antivirus no lo detectan, cuenta con inyección web y uso de comunicaciones cifradas con el centro de comando y control.
Índice de temas
Black, la nueva botnet de Ramnit
El troyano Ramnit hace que los equipos infectados operen como una botnet altamente centralizada, aunque su arquitectura implica la división en otras redes independientes. Recientemente fue descubierto un servidor de Ramnit que no está relacionado con ‘Demetra’, la botnet anteriormente más utilizada por el gusano. Según los nombres del dominio que se resuelven en la dirección IP de este servidor, pretende controlar también los bots antiguos, que se vieron por primera vez en 2015.
Este servidor ha estado activo desde el 6 de marzo de 2018 pero no ha llamado la atención hasta ahora debido a que entre mayo y julio infectó a cerca de 100.000 ordenadores.
Análisis del Malware
El virus crea una cadena de procesos para inyectar su código en los dispositivos objetivo. En primer lugar, inyecta su código en el proceso recién creado utilizando una técnica de vaciado de procesos (‘process hollowing’). A continuación, el malware recurre a una aplicación predeterminada para abrir archivos con la extensión .html, y realiza las principales acciones maliciosas.
Capacidades de Ramnit
- Monitorización de la navegación web del sistema infectado y detección de la visita de sitios de banca online
- Manipulación de webs de banca online con el objetivo de parecer legítimas
- Robo de cookies de sesión de los navegadores web para poder suplantar a la víctima en sitios seguros
- Escaneo de los discos duros del ordenador, así como robo de archivos en base a palabras clave (como contraseñas)
- Acceso de forma remota a los ordenadores afectados
- Recopilación de las credenciales de acceso de clientes FTP