Ramnit operator berkontribusi dalam menciptakan Botnet hitam Proxy

Computer Security News

Pakar keamanan Checkpoint melaporkan bahwa mereka menemukan botnet besar proxy, dilacak sebagai botnet “Black”, dibuat oleh pengembang Ramnit.

Ramnit terdaftar pertama kali pada tahun 2010 dan saat ini dikenal sebagai salah satu paling populer perbankan malware keluarga. Pada tahun 2011, para pengembang botnet meningkatkannya mulai dari kode sumber Zeus bocor dan menjadikan malware Trojan perbankan. Pada tahun 2014, botnet “Hitam” menjadi botnet terbesar keempat di dunia.

Tahun berikutnya, Europol mengumumkan pencopotan infrastruktur Ramnit C2. Namun, hanya beberapa bulan kemudian, pakar keamanan IBM menemukan versi baru Ramnit Trojan.

Beberapa waktu lalu, para peneliti melaporkan bahwa “Hitam” botnet telah terinfeksi lebih dari 100.000 perangkat dalam dua bulan, dan hal ini hanya awal karena malware tahap kedua yang disebut Ngioweb sudah menyebar di sekitar.

Paling mungkin, para pengembang Ramnit menggunakan dua malware untuk membuat botnet proxy besar, multi-tujuan yang dapat digunakan untuk beberapa kegiatan penipuan.

“Baru-baru ini kita menemukan Ramnit C & C server (185.44.75.109) yang tidak terkait dengan botnet sebelumnya paling lazim”demetra“. Menurut nama domain yang diselesaikan untuk alamat IP ini C & C server, itu berpura-pura untuk mengontrol bot bahkan lama, pertama kali terlihat kembali pada tahun 2015. Kami bernama botnet ini “Black” karena RC4 nilai kunci, “hitam”, yang digunakan untuk enkripsi lalu lintas di botnet ini.” di pos pemeriksaan keamanan analisis Serikat.

“C & C ini server sebenarnya telah aktif sejak 6 Maret 2018 tetapi tidak menarik perhatian karena kapasitas rendah botnet”hitam”pada waktu itu. Namun, pada bulan Mei-Juli 2018 kami mendeteksi kampanye Ramnit baru sekitar 100.000 komputer yang terinfeksi.”

Para peneliti mengklaim bahwa dalam operasi hitam, Ramnit malware didistribusikan melalui kampanye spam. Kode berbahaya bekerja sebagai malware tahap pertama dan digunakan untuk memberikan malware tahap kedua yang disebut Ngioweb.

Ngioweb mewakili multifungsi proxy server yang menggunakan protokol biner dengan dua lapisan enkripsi, “ analisis Checkpoint membaca.

“Proxy malware mendukung punggung-Hubungkan modus, relay modus, IPv4, IPv6 protokol, TCP dan UDP transportasi, dengan sampel pertama yang terlihat di paruh kedua tahun 2017.”

Apakah apa malware Ngioweb, adalah meningkatkan dua-tahap C & C infrastruktur, mana tahap-0 C & C server menginformasikan malware tentang tahap-1 C & C server sementara tidak terenkripsi HTTP sambungan yang digunakan untuk tujuan ini. Kedua server tahap-1 C & C digunakan untuk mengendalikan malware melalui sambungan terenkripsi.

Ngioweb dapat beroperasi dalam dua mode utama – biasa kembali-menghubungkan proxy, dan Relay proxy modus. Berada di Relay proxy modus, Ngioweb memungkinkan penciptanya membangun rantai proxy dan menyembunyikan layanan mereka di belakang alamat IP bot.


Leave a Reply

Your email address will not be published. Required fields are marked *