Изучая активность зловреда Ramnit, аналитики компании Check Point обнаружили новый крупный прокси-ботнет. Зомби-сеть получила имя Black — по значению ключа, который злоумышленники использовали для шифрования трафика. С мая по июль 2018 года вредонос заразил свыше 100 тыс. систем по всему миру. По мнению специалистов, преступники готовятся к крупной операции.

Зловред Ramnit впервые попал в поле зрения специалистов в 2010 году. В 2011-м создатели усовершенствовали его при помощи просочившегося в Сеть исходного кода трояна Zeus, превратив из обычного червя в опасный банкер. Вредонос распространялся через спам и ссылки на сомнительные ресурсы и давал своим операторам доступ к финансовым и регистрационным данным жертвы, ее профессиональным резюме, аккаунтам в социальных сетях и многому другому. В 2014 году Ramnit стал четвертым по величине ботнетом в мире.

По данным на начало 2015 года, троян заразил более 3,2 млн устройств. После этого Европолу совместно с экспертами Microsoft, AnubisNetworks и Symantec удалось отключить семь его C&C-серверов, положив конец распространению Ramnit. Однако уже через несколько месяцев зловред вернулся.

Новая кампания, обнаруженная специалистами Check Point, перешла в активную фазу 9 мая. Командный сервер ботнета (185.44.75.109) действовал еще с 6 марта, но первое время не привлекал к себе внимания из-за низких объемов трафика. В поле зрения экспертов он попал, когда за два месяца заразил более 139 тыс. компьютеров. Судя по доменным именам, C&C-сервер контролирует даже старые боты, созданные в 2015 году.

У новой зомби-сети есть несколько особенностей. Командный сервер не загружает обычные дополнительные модули (VNC, парольные воры, FtpGrabber), все необходимое (FTP-сервер и веб-инъекции) поставляется в том же пакете, что и сам Ramnit. Злоумышленники не пользуются алгоритмами DGA, прибегая к жестко закодированным именам доменов.

Кроме того, на этот раз Ramnit является всего лишь первым этапом атаки. С его помощью владельцы ботнета устанавливают на зараженные устройства программу прокси-зловред Ngioweb.

«Ngioweb представляет собой многофункциональный прокси-сервер, который использует свой собственный двоичный протокол с двумя уровнями шифрования, — пояснили аналитики. — Он поддерживает режим обратного подключения (BackConnect), режим ретрансляции (relay), протоколы IPv4 и IPv6, передачу данных по TCP и UDP».

В качестве BackConnect-прокси Ngioweb может подключиться к удаленному хосту в обход фаервола или NAT и предоставить злоумышленнику доступ к внутренним ресурсам локальной сети. Функция ретрансляции позволяет создавать цепочки прокси и скрывать свои сервисы за IP-адресами ботов. Отследить источник трафика при этом становится практически невозможно.

Большой многоцелевой прокси-ботнет злоумышленники смогут использовать практически для любых целей — майнинга криптовалюты, установки программ‑вымогателей или другого вредоносного ПО, DDoS-атак или поиска информации и обмена ей.

Категории: Вредоносные программы