La campagne d’un black botnet se sert du logiciel malveillant Ramnit pour infecter 100 000 systèmes d’exploitation au cours de ces deux derniers mois.
Ramnit, un ver recyclé à partir du cheval de Troie Ramnit évite la détection et travaille contre les réseaux. Ramnit a été détecté pour la première fois en 2010 alors que les logiciels malveillants bancaires attaquaient principalement les systèmes Windows.
« Selon les chercheurs, NIGOWEB, un logiciel malveillant de deuxième étape, a provoqué une attaque plus massive en travaillant avec un botnet noir ».
Serveur Proxy de logiciels malveillants : Nigoweb + Black Botnet
Black Botnet et Nigoweb créent un réseau de serveurs proxy malveillants qui peuvent endommager tout dispositif informatique. Tout en fonctionnant comme un botnet centralisé, ces serveurs Proxy se divisent en un botnet indépendant pour infecter les ordinateurs Windows.
Dans l’opération Black, les logiciels malveillants Ramnit se diffusent via des campagnes de spam qui filtrent les informations les plus complètes. Ramnit utilise son protocole binaire et agit de manière totalement différente de son cheval de Troie bancaire.
Dans une analyse, on a constaté que Ramnit possédait deux couches de cryptage qui empêchent les logiciels anti-programme malveillant et les antivirus de le détecter.
Analyse gratuite et correction de votre PC! Débarrassez-vous rapidement des logiciels malveillants!
Analyse gratuite et correction de votre PC! Débarrassez-vous rapidement des logiciels malveillants!
Rapport d’analyse
« Le proxy malware Ramnit prend en charge le mode back-connect, un mode relais, les protocoles IP version 4 et 6. Le premier échantillon de Ramnit vu en 2017 prend en charge le transport TCP et UDP ».
Les opérateurs sont entrain de construire un botnet proxy massif et polyvalent qui pourrait être utilisé à plusieurs reprises à des fins néfastes. Ce serveur Proxy propage des rançongiciels ou tout autre logiciel malveillant avec une attaque de Distribution Déni de Service (DDoS) pour recueillir des informations.
En 2015, l’Europe avait annoncé la suppression des logiciels malveillants Ramnit C2, mais plus tard la même année ; Les experts en sécurité IBM ont trouvé une nouvelle version du cheval de Troie bancaire Ramnit.
« Ce serveur C&C était actif depuis le 6 Mars 2018 mais est resté méconnu à cause du Black botnet. Or, aux mois de Mai et Juillet, des chercheurs ont détecté plusieurs activités frauduleuses ».
Une approche de proxy complexe de Nigoweb
Nigoweb fonctionne à la fois comme un régulier proxy de back-connect et de relais. Il permet à un utilisateur distant de se connecter pour infecter l'hôte. Parfois, Nigoweb accède aux ressources internes du réseau local sur les machines infectées.
En tant que relais proxy, Nigoweb crée des chaînes de proxy après lesquelles l'utilisateur ne sera pas en mesure de retracer les activités néfastes. Nigoweb couvrira le black botnet et Ramnit pour éviter la détection.
LE Black Botnet affiche en premier l’adresse de l’ordinateur de la victime en DNS pour ensuite s’y connecter. Ainsi, la machine infectée crée une nouvelle connexion au serveur pour endommager la machine hôte.
Nigoweb utilise une infrastructure C2 de deux étages ; une connexion HTTP non cryptée et une chaine cryptée pour prendre le contrôle du logiciel malveillant.
Les noms de domaines résolus à l'adresse IP du serveur Black C2 contrôlent les anciens bots apparus en 2015. Les chercheurs ont déclaré qu’il est presque impossible de trouver l'adresse d'un botnet.
De plus, les outils anti-malware ne permettent pas de prédire si l'adresse appartient à l'assaillant ou simplement à un autre robot. Comme les outils anti-programme malveillant échouent, le serveur C2 ne télécharge pas de modules supplémentaires, mais injecte Ramnit.
Du cheval de Troie Ramnit au Black Botnet
Le Black Botnet est le résultat de l’évolution du cheval de Troie Ramnit. En 2010, Ramnit était un ver à reproduction automatique. Cependant, en 2011, Ramnit a utilisé le code source du cheval de Troie bancaire Zeus et est devenu un de la même catégorie que ce dernier.
Ramnit recueille les identifiants bancaires, pirate les comptes de réseaux sociaux et les connexions FTP. De plus, les cybercriminels ont amélioré les techniques d’évasion de Ramnit pour protéger le déclenchement des logiciels.
Par ailleurs, la combinaison d'une mule à Ramnit désactive votre ordinateur.
Ramnit dans l'ombre de Black Botnet a infecté plus de 4 millions d'ordinateurs Windows en 2015 dans les services de fraude.
Ainsi donc, Nous vous recommandons fortement le Malware Crusher pour vous débarrasser des logiciels malveillants sur votre ordinateur Windows à domicile.
Êtes-vous inquiet de l’état de votre PC?
Vérifier l’état de votre PC!
Conseils pour empêcher tout virus ou logiciel malveillant d’infecter votre système :
- Activez votre Bloqueur d’Annonces : l’affichage de pop-ups intempestives et de publicités sur les sites Web constituent la tactique la plus facile à adopter par les cybercriminels ou les développeurs pour propager des programmes malveillants. Donc, évitez de cliquer sur des sites non fiables, des offres etc. et installez un puissant Bloqueur d’Annonces pour Chrome, Mozilla, and Internet Explorer.
- Mettre à jour Windows : Pour éviter de telles infections, nous vous recommandons de toujours mettre à jour votre système via la mise à jour automatique de Windows. En faisant cela, votre appareil sera sans virus. Selon le sondage, les versions obsolètes ou anciennes du système d'exploitation Windows constituent des cibles faciles.
- Programme d’installation tiers : Essayez d’éviter les sites Web de téléchargement gratuit car ils installent habituellement un ensemble de logiciels avec n’importe quel programme d’installation ou fichier de raccord.
- Une Sauvegarde régulière : Une sauvegarde régulière et périodique vous aide à protéger vos données si le système est infecté par un virus ou toute autre infection. Cependant, sauvegardez toujours les fichiers importants régulièrement sur un lecteur cloud ou un disque dur externe.
-
Toujours avoir un Antivirus : il vaut mieux prévenir que guérir. Nous vous recommandons d’installer un antivirus comme ITL Total Security
ou un puissant Outil de suppression de logiciels malveillants
comme l’ Outil de suppression gratuit de virus pour vous débarrasser de toute menace.
