Botnets Ramnit observadas desde setembro de 2018 usaram kits de exploração, Azorult e serviços de injeção web para atingir bancos, varejo e usuários de serviços online.
| Componente | Campanha Ramnit com três botnets novas, cinco servidores C&C, distribuição de Azorult e plugins adicionais para máquinas infectadas. |
| Vetor | Infecção por RIG Exploit Kit, GrandSoft Exploit Kit e distribuição associada ao Azorult; uma botnet Ramnit também passou a baixar carga de terceiros por HTTP. |
| Impacto | Roubo de credenciais e informações de conta por injeções web, instalação de malware adicional e exposição de clientes de bancos, varejo e usuários de serviços online. |
| Prioridade | Caçar hosts com sinais de Ramnit, Azorult, tráfego HTTP para hospedagem compartilhada suspeita, injeções web e módulos com hashes associados à campanha. |
| Artefatos | Plugins observados incluem injetor para IE, Chrome e Firefox, módulo VNC na porta 23, módulo declarado como confiável por antivírus, stealer baseado em Pony e reinstalador silencioso para Firefox e Chrome. |
| IoCs | Exemplos de hashes SHA-256 citados incluem 8b8e00b292d53900b7789cfde4159a3421fa103f907c0da90962e79a9141a6ea, 3007e243adfa318b137994c0782b39981f260b9685910e8c0ff9430b2de802be e 2994eb28a57e646d91ef96b41d085b56c22c825caeafb17a0e50f570870e4668. |
Uma nova campanha Ramnit foi observada menos de um mês após a derrubada de servidores C&C associados à botnet conhecida como Black. A atividade mais recente não apenas retomou a operação do malware, como também mudou o foco operacional para roubo de dados sensíveis por injeções web e para cooperação com outros serviços do ecossistema criminoso. Desde 1º de setembro de 2018, foram identificadas três botnets Ramnit novas, sustentadas por cinco servidores C&C. O conjunto mirava clientes de bancos no Canadá, Japão, Estados Unidos e Itália, clientes de varejo e usuários do PornHub. A escala descrita foi menor que a de campanhas anteriores, com aproximadamente 16 mil computadores infectados durante o mês de observação, mas a cadeia mostrou integração relevante entre botnet, exploit kits, hospedagem compartilhada, painéis de captura e distribuição de cargas terceirizadas.
O ponto técnico central é que Ramnit deixou de funcionar apenas como botnet isolada e passou a operar como plataforma dentro de um ecossistema de monetização. Os operadores usaram RIG Exploit Kit, GrandSoft Exploit Kit e distribuição por Azorult como vetores de disseminação, enquanto também ofereceram a capacidade de instalar malware adicional em hosts já comprometidos. Em paralelo, a campanha incorporou serviços externos de injeção web, identificados como Yummba ou Full Info Grabber, para capturar credenciais e informações de conta. Algumas amostras Ramnit chegaram com assinatura digital válida, característica incomum para crimeware comum e relevante para defesa porque pode reduzir suspeitas em controles baseados apenas em reputação simplificada.
A primeira camada do fluxo é a infecção inicial por kits de exploração e por distribuição associada ao Azorult. Uma vez instalado, Ramnit se conecta à infraestrutura de comando e controle para receber plugins, configurações e instruções. A campanha observada carregava módulos padrão para hosts infectados e, em 28 de setembro, os servidores C&C passaram a distribuir plugins adicionais. Entre os artefatos descritos estão um injetor para Internet Explorer, Chrome e Firefox, um módulo VNC para arquiteturas x64 e x86 com referência à porta 23, um módulo apresentado como Antivirus Trusted Module v2.0 para marcas como AVG, Avast, Nod32, Norton e Bitdefender, um ladrão de senhas baseado em Pony e um reinstalador silencioso para Firefox e Chrome. Esses nomes não devem ser tratados como descrição benigna do arquivo; são rótulos operacionais usados na campanha para módulos com finalidade maliciosa.
Um evento operacional ocorreu em 24 de setembro, quando uma das botnets, chamada client, começou a enviar outro malware para computadores infectados. A primeira tentativa falhou por erro no desempacotamento das amostras enviadas. Em 27 de setembro, uma segunda onda conseguiu implantar uma carga de terceiro. Para baixar e executar essa carga, máquinas já comprometidas por Ramnit precisavam acionar o comando de protocolo getexec. A diferença relevante em relação à botnet Black é que a campanha atual usou HTTP para buscar a carga, com o arquivo hospedado em outro servidor, descrito como hospedagem web compartilhada. Esse desenho separa C&C e armazenamento da carga, complica a leitura direta da cadeia apenas por infraestrutura de comando e cria pontos adicionais para detecção em proxy, DNS, EDR e registros de download.
A carga distribuída nessa onda foi identificada como Azorult. Enquanto a URL monitorada permanecia disponível, as amostras fornecidas eram atualizadas a cada poucas horas. Em 1º de outubro, essa URL ficou indisponível e foi substituída por outra, que passou a entregar um novo fluxo de Azorult. A nova URL também apontava para hospedagem compartilhada russa do mesmo provedor já visto anteriormente. Esse padrão indica rotação de ponto de entrega sem abandono completo do provedor de hospedagem, uma condição útil para investigação porque permite correlacionar períodos de indisponibilidade, novos downloads e mudanças de amostra com a mesma base de infraestrutura.
A superfície exposta combina usuários finais, navegadores, sessões bancárias e máquinas que já receberam Ramnit por exploração ou por cadeia envolvendo Azorult. A campanha mirou bancos de quatro países, clientes de varejo e usuários de um serviço de conteúdo adulto, o que sugere seleção de alvos por valor de credenciais e possibilidade de captura de dados em formulários. As injeções web são o mecanismo usado para interferir no conteúdo visto pelo usuário durante navegação e coletar credenciais ou informações de conta. O risco, portanto, não se limita ao binário inicial: ele inclui o navegador, a sessão autenticada, a página manipulada e os servidores usados para receber dados capturados.
A infraestrutura de suporte também amplia a exposição. Os operadores usaram VPS em países da antiga União Soviética, principalmente Rússia, escolhendo provedores que não exigiam verificação de identidade e aceitavam pagamento anônimo. Os servidores usados como gates de coleta para dados roubados por injeções web ficavam em outro conjunto de sistemas. Uma infraestrutura associada a injeção web, kioxixu[.]abkhazia[.]su, já havia sido vista anteriormente em campanha Osiris/Kronos no Japão, o que reforça o caráter compartilhado dos serviços utilizados. A defesa deve tratar esses componentes como parte de uma cadeia modular: Ramnit fornece presença e distribuição, Azorult atua como carga de roubo, e painéis de terceiros dão suporte à captura via navegador.
A presença de amostras assinadas digitalmente aumenta a importância de validações comportamentais. Um arquivo com assinatura válida ainda pode ser malicioso quando executa injeção em navegadores, busca plugins suspeitos, conversa com C&C ou aciona download de cargas externas. Da mesma forma, nomes de plugins que tentam simular confiança em antivírus não significam legitimidade. Ambientes que permitem execução com base apenas em assinatura, reputação estática ou nome de arquivo ficam mais expostos a módulos desse tipo.
- Computadores infectados por Ramnit desde 1º de setembro de 2018, incluindo hosts que receberam comandos de instalação de cargas adicionais.
- Navegadores Internet Explorer, Chrome e Firefox, citados no contexto dos módulos de injeção e reinstalação silenciosa.
- Clientes de bancos no Canadá, Japão, Estados Unidos e Itália, clientes de varejo e usuários do PornHub citados como alvos da campanha.
- Ambientes com tráfego HTTP para hospedagem compartilhada usada como ponto de entrega de Azorult e com comunicação separada para C&C Ramnit.
A investigação deve começar pela correlação entre infecção inicial, atividade de navegador e download de cargas. Em endpoints, procure processos que carregam módulos relacionados a navegadores e tentam manipular sessões de Internet Explorer, Chrome ou Firefox. Em telemetria de rede, dê atenção a máquinas com tráfego HTTP para hospedagens compartilhadas incomuns logo após sinais de exploração por kits ou após execução de binários Ramnit. Como a carga Azorult foi atualizada a cada poucas horas em um período da campanha, variações frequentes de amostra baixada a partir de ponto semelhante são um sinal útil. A interrupção em 1º de outubro e a substituição por outra URL também são eventos que podem aparecer como mudança repentina de domínio, caminho ou servidor de entrega sem alteração do comportamento do host infectado.
Em logs de proxy e DNS, a busca deve priorizar categorias de indicador, não uma lista extensa. Procure hosts que acessam infraestrutura de hospedagem compartilhada russa associada a downloads executáveis, conexões para C&C Ramnit e comunicação com gates de coleta de injeções web. O domínio defangado kioxixu[.]abkhazia[.]su é relevante como exemplo de infraestrutura de injeção já vista em outra campanha, mas a análise não deve depender apenas dele. Em EDR, sinais como criação de módulos com nomes de injetores de navegador, componentes VNC, stealers baseados em Pony e execução de carga Azorult após comando vindo de Ramnit ajudam a montar a linha do tempo da intrusão.
A telemetria de identidade e aplicação também importa. Como as injeções web visam credenciais e informações de conta, autenticações anômalas após a infecção do endpoint, tentativas de acesso a contas bancárias ou de varejo e mudanças de sessão em navegadores devem ser correlacionadas com o host afetado. A contenção não deve assumir que a remoção de um único binário encerra o incidente, porque a cadeia inclui plugins, cargas terceirizadas e serviços externos. Quando um host apresentar Ramnit e Azorult na mesma linha do tempo, trate a máquina como comprometida para roubo de credenciais e revise senhas, cookies, sessões e segredos acessados a partir dela.
- Execução de módulos associados a injeção em IE, Chrome e Firefox ou tentativa de alteração silenciosa de componentes desses navegadores.
- Downloads HTTP de executáveis a partir de hospedagem compartilhada após comunicação com infraestrutura Ramnit.
- Presença de hashes SHA-256 citados para módulos da campanha, incluindo injetor de navegador, VNC, stealer baseado em Pony e reinstalador silencioso.
- Tráfego para gates de coleta de injeções web e domínios defangados relacionados a painéis Yummba ou Full Info Grabber.
- Autenticações ou alterações de conta posteriores à infecção em serviços bancários, varejo ou contas usadas no navegador afetado.
A resposta deve isolar hosts com sinais de Ramnit, Azorult ou plugins relacionados antes de iniciar limpeza, porque a campanha inclui capacidade de baixar e executar cargas adicionais. Após isolamento, preserve artefatos de disco, memória, proxy, DNS e EDR para reconstruir a ordem dos eventos: vetor inicial por exploit kit ou Azorult, instalação Ramnit, recebimento de plugins, acionamento de getexec, download por HTTP e execução da carga Azorult. Essa sequência ajuda a distinguir máquina apenas exposta de máquina usada para roubo de dados. Em seguida, revogue sessões, troque credenciais acessadas no navegador do host e verifique contas bancárias, varejo e serviços online usados no período de infecção.
No controle preventivo, bloqueie execução de arquivos desconhecidos baixados por navegador ou por processos sem reputação empresarial, mesmo quando houver assinatura digital válida. A assinatura deve ser uma entrada de contexto, não uma decisão final. Aplique inspeção em tráfego HTTP de saída para identificar downloads executáveis de hospedagem compartilhada, correlação com domínios recém-observados e padrões de troca de URLs de entrega. Em navegadores, valide extensões, alterações de perfil e comportamento de injeção em páginas sensíveis. Em estáções de trabalho, revise persistência, tarefas agendadas, chaves de execução automática e módulos carregados em processos de navegador.
A remediação precisa cobrir o ecossistema completo da campanha. Bloqueios pontuais de C&C não eliminam o risco se o host já recebeu plugins ou Azorult. Use os hashes disponíveis como pivôs iniciais, mas complemente com comportamento, nomes de módulo, comunicação de rede e alterações de navegador, pois a campanha atualizava amostras com frequência. Em ambientes corporativos, priorize hosts que acessaram bancos, varejo ou serviços pessoais a partir de máquinas gerenciadas durante a janela de infecção. Após erradicação, valide que não restaram conexões para infraestrutura de Ramnit, que não há novos downloads HTTP suspeitos e que as contas usadas no host não apresentam atividade posterior incompatível com o usuário.
- Isolar endpoints com Ramnit, Azorult ou plugins associados antes de remover artefatos, preservando telemetria para análise.
- Revogar sessões e trocar credenciais usadas em navegadores de máquinas comprometidas.
- Bloquear e investigar downloads executáveis por HTTP vindos de hospedagem compartilhada suspeita.
- Usar hashes da campanha como pivôs, mas confirmar por comportamento de injeção web, comunicação C&C e execução de cargas adicionais.
- Revisar políticas que confiam automaticamente em assinatura digital válida quando o comportamento do binário indica roubo de credenciais ou instalação de plugins.
0 Comentários