• 1

Alertan de un virus «indetectable» que controla ya 100.000 ordenadores

Ramnit no es percibido por los antivirus y ha sido reactivado siete años después de su creación

  • El malware detectado es especialmente difícil de combatir / Reuters
    El malware detectado es especialmente difícil de combatir / Reuters
Madrid.

Tiempo de lectura 2 min.

07 de septiembre de 2018. 08:52h

Comentada
Ernesto Villar Madrid. 7/9/2018

ETIQUETAS

Los expertos en ciberseguridad han detectado una nueva campaña masiva del malware Ramnit, un viejo troyano que se dio a conocer en 2011 y que después de un verano especialmente activo ha infectado ya a más de 100.000 dispositivos.

El riesgo de este virus, que afecta a sistemas operativos Windows, es que es especialmente avanzado y no es detectado por los antivirus, según Check Point, la firma de ciberseguridad que ha lanzado la advertencia.

Ramnit se ha utilizado en el pasado para realizar actividades criminales, entre las que se encuentran la monitorización de la navegación web del sistema infectado y detección de la visita de sitios de banca online, la manipulación de webs de banca online con el objetivo de parecer legítimas, el robo de cookies de sesión de los navegadores web para poder suplantar a la víctima en sitios seguros o el escaneo de los discos duros del ordenador.

Además, el troyano se dedica a robar archivos a partir de palabras clave o contraseñas, accede de forma remota a los ordenadores afectados y recopila las credenciales de acceso de clientes FTP.

Según explica Check Point, este troyano hace que los equipos infectados operen como una botnet altamente centralizada. En su nueva configuración ha estado activo desde el 6 de marzo de 2018 pero no ha llamado la atención hasta ahora debido a que entre mayo y julio infectó a cerca de 100.000 ordenadores.

El virus crea una cadena de procesos para inyectar su código en los dispositivos. Inyecta su código en el proceso recién creado utilizando una técnica de vaciado de procesos (“process hollowing”) y a continuación recurre a una aplicación predeterminada para abrir archivos con la extensión .html, y realizar las principales acciones maliciosas.

Últimas noticias