Ramnit木马针对英国银行重新激活

据IBM X-Force研究人员称，Ramnit Banking Trojan已经重新启动了英国六大银行的网络犯罪攻击活动。

恶意软件 - 使犯罪分子能够禁用防病毒保护，控制计算机并访问用户的密码，银行信息和其他个人数据 - 2010年首次出现，并幸免于时才能关闭它。

Ramnit也在不断发展。开始作为一个自我复制的蠕虫，恶意软件在2011年从宙斯特洛伊木马公开的源代码中获取了一家盗窃模块和网络注射功能。

广泛地，RAMNIT旨在操纵在线银行会议以窃取用户凭据并执行货币转移欺诈攻击。

根据X-Force Research，恶意软件最多平的银行欺诈阶段是在2014年，当时它被评为世界第四个最活跃的金融特洛伊木马，从无到前，永无犹好无说和德国。

2015年2月，英国的国家犯罪机构（NCA）和其他欧洲犯罪机构关闭了Ramnit Botnet所使用的服务器。

但是，经过几天，安全研究人员报告说，Ramnit僵尸网络的某些部分仍然活着，尽管它背后的网络罪犯决定躺下。

然后，在2015年12月，IBM X-Force报道了在加拿大，澳大利亚，美国和芬兰的加拿大银行和电子商务的更新Ramnit活动。

研究人员发现，再次Ramnit Servers再次沉默，但八个月后，其运营商已经找到了两个新的，现场攻击服务器和新的命令和控制服务器。

攻击者还在英国推出了一种感染活动，并展开了新的特洛伊木马配置，以装备使用Web-Increents的恶意软件，旨在为主要的个人银行客户提供目标。

在内部，IBM X-Force表示，RAMNIT有效负载似乎没有以任何重要方式更改，其操作，架构和加密算法保持不变。

但是，更新了一些零件，例如挂钩模块，它看到了一些改造并更名为抓取器。此模块也称为间谍模块，旨在挂钩浏览器，监视URL访问，实时启用数据盗窃，并向受害者显示Web注入。

Ramnit的Drivescan模块也保持不变。“此组件使特洛伊木马能够为具有有趣关键字的文件扫描驱动器，例如”钱包“和配置在配置中的银行名称，”IBM执行安全顾问Impect Security Adviser说明。

“Ramnit的运营商收集了额外信息，以确保他们不会错过受害者可能留在其终点的任何财务细节或凭据上，”她在博客帖子中写道。

虽然RAMNIT具有虚拟网络计算（VNC）模块，但研究人员发现它似乎并没有立即部署它。尽管如此，可以从恶意软件的控制服务器上动态地获取VNC模块，并在攻击者的自由裁量权开始，并在任何时候推出使用，以便在任何时候都使用。

但是，在研究人员说，配置方面是ramnit作者似乎正在为下一阶段准备下一阶段的新阶段，这是针对在线银行会议的实时欺诈攻击的新攻击方案。

“并非所有攻击都必须实时发生或受害者的设备，”Kessem说。“ramnit的运算符也可以收集来自受感染用户的凭据，并用它们在稍后的时间从其他设备提交帐户收购欺诈。”

根据X-Force威胁情报，RAMNIT似乎是由私人封闭式网络团伙操作的，因为Ramnit的源代码没有公开出售或与其他网络罪犯分享。

“从我们到目前为止所学到的，从那种意义上讲，哈尼特的地位没有变化，”Kessem说。“新帮派有可能挑选项目，但归因仍然含糊。”

Ramnit的目前的目标似乎仅限于六个英国主要银行，但X-Force研究人员希望列表在未来几天或几周内成长。

研究人员表示，恶意软件的运营商正在向新感染机器人传播多种配置，以多种配置为新的受感染机器人，以及复杂的社会工程注射和谈话中的欺诈自动化。

过去，Ramnit已经以各种方式传播，包括恶意和恶意软件垃圾邮件，而Ramnit的运营商已经使用了流行的漏洞套件，例如垂钓者。

为了帮助阻止ramnit，X-Force研究人员表示，银行和服务提供商可以使用自适应恶意软件检测系统，并使用恶意软件智能保护客户端点，可在欺诈者技术和功能中实时洞察。

网上银行的用户可以通过删除任何意外电子邮件来保护自己，因为大多数恶意软件感染情况，包括RAMNIT，以恶意软件垃圾邮件发送给诱使受害者打开附件。

那些经常银行远离房屋的人也建议从未从公共计算机上访问任何个人账户。

“在线银行应从受安全解决方案保护的受信任设备进行，”Kessem说。