O Malware Ramnit Ressurge e se Torna Mais Avançado para Evitar a Detecção

O malware Ramnit já foi conhecido por se tornar viral e ajudar os hackers nas suas tentativas de roubar detalhes de login de contas sociais , bem como de contas de instituições bancárias. Depois daquela época no ano passado, o Ramnit retornou com uma natureza vingativa, onde aprimorou a criptografia, uma carga maliciosa e novas habilidades anti-detecção.

No final de 2012, o Ramnit (W32.Ramnit/Ramnit Worm/Ramnit Botnet) ressurgiu nas telas do radar de Tim Liu do Centro de Proteção contra Malware da Microsoft e de outros pesquisadores de segurança. Naquela época, o Ramnit não apresentava a sua antiga funcionalidade de infecção e recebeu o que foi descoberto ser um grande aprimoramento das suas capacidades de botnet. Sendo um botnet, o Ramnit pode receber atualizações através de servidores de Comando e Controle continuamente, o que tem acontecido recentemente.

Em 2010, o Ramnit era conhecido simplesmente como um botnet que tinha como foco as senhas do Facebook de contas bancárias on-line e log-ins do FTP. Hoje, o Ramnit ressurgiu para mostrar um rosto completamente novo, apresentando quatro novas atualizações, todas aprimoradas pela sua capacidade de evitar a detecção por meio da funcionalidade de rootkit.

As infecções tipo rootkit estão entre as ameaças de malware mais desagradáveis ​​conhecidas pelos pesquisadores de segurança devido à sua capacidade de obscurecer um sistema que está sendo comprometido . Basicamente, os rootkits geralmente negam acesso ao administrador, limitando a capacidade de executar ou adulterar processos e arquivos de segurança. Combinado com os recursos de botnet, um rootkit pode ser ilimitado na sua abordagem para realizar atividades maliciosas em um sistema infectado. Tudo o que seria preciso fazer era receber os comandos ou instruções necessários do seu servidor de Comando e Controle.

A mais recente versão do Ramnit parece estar um passo à frente dos produtos anti-vírus, pois foi descoberto que ela envia uma longa lista de nomes de processos de produtos anti-vírus, tudo isso para evitar a detecção. Até agora, essa técnica foi bem-sucedida, pois encerra ativamente todos os processos que correspondem aos nomes contidos na sua lista de processos anti-vírus.

Também incluído na atualização vingativa do Ramnit, estão os seus módulos de carga útil. Em poucas palavras, o Ramnit não tem mais a necessidade de confiar nas atualizações de outros botnets como o Zeus. Ele possui um componente de dados personalizados e de roubo de credenciais, também conhecido como um Módulo Hook&Spy nativo no Zeus. "Ao fazer isso, o Ramnit finalmente tem o seu próprio módulo de stealth (dissimulação) bancário, que pode ser atualizado por si só e não depende mais de atualizações [Zeus]", disse Liu.

As intenções do novo e melhorado Ramnit são manter os seus variados componentes de malware fora do alcance de serem detectados. Além disso, ele tem uma carga útil autônoma que pode potencialmente dar a ele um alcance maior do que qualquer outro botnet que vimos até agora. Com essas implicações, o Ramnit será o iniciador da futura destruição em uma escala sem precedentes se for colocado nas mãos erradas.