De acordo com os sistemas de telemetria da ESET, empresa líder em detecção proativa de ameaças, o botnet Ramnit é atualmente uma das quatro ameaças mais ativas da América Latina, com mais de 180 mil detecções durante os primeiros três meses de 2023. Sua capacidade de infectar dispositivos e se espalhar rapidamente, bem como a sofisticação das técnicas que implementa, fazem dele um dos botnets mais perigosos e persistentes da atualidade.
O Ramnit se espalha principalmente por meio do download de arquivos maliciosos que geralmente são distribuídos através de e-mails falsos, bem como sites fraudulentos ou comprometidos. Uma vez instalado no sistema, o Ramnit é configurado para sempre ser executado na inicialização do Windows, modificando as chaves do Registro. Em seguida, ele vasculha o sistema procurando roubar credenciais bancárias, senhas e outras informações financeiras valiosas.
Uma botnet é a combinação das palavras “robô” e “rede”, é um software malicioso que pode ser controlado por um invasor remotamente. Ou seja, um invasor pode executar diferentes ações em um dispositivo infectado por meio de instruções enviadas por um ator à distância. “Ramnit ficou conhecido em 2010 devido à sua alta capacidade de infecção e disseminação. Embora a sua atividade tenha diminuído após o desmantelamento da sua infraestrutura em 2015, um ano depois começou a recuperar e não só regressou ao top 5 trojans do mercado, como se manteve em atividade até agora”, afirma Martina Lopez, Pesquisadora de Segurança da Informação da ESET.
Além disso, uma variante do Ramnit aponta para o sequestro de contas de redes sociais, buscando obter credenciais de acesso a contas como Facebook, Twitter e outras plataformas sociais. Quando um invasor tem acesso a uma conta de mídia social, ele pode enviar mensagens de spam, espalhar malware e executar outras atividades maliciosas.
Como o Ramnit se prolifera?
Geralmente, por meio de e-mails fraudulentos, nos quais se passa por diferentes organizações, desde instituições de caridade, empresas globais privadas, como a Amazon, até entidades bancárias e provedores de e-mail próprios do destinatário, como a Microsoft.
Dentro dessas mensagens, os cibercriminosos geralmente anexam links ou arquivos maliciosos (geralmente no formato Word ou Excel) que hospedam ou contêm o malware. E no corpo do e-mail, eles instruem a vítima a baixar e executar a ameaça.
Como posso saber se o meu computador está infectado?
A equipe de pesquisa da ESET afirma que, embora seja um desafio identificar esse tipo de infecção – já que o malware é projetado para operar em segundo plano e evitar a detecção, existem alguns sinais que podem indicar a presença desse programa malicioso em um computador:
- Desempenho lento do sistema: o malware Ramnit pode diminuir o desempenho do computador usando recursos do sistema para executar atividades maliciosas de botnet;
- Alterações na página inicial do navegador: se a página inicial do navegador for alterada para um site desconhecido, pode ser um sinal de infecção;
- Comportamento incomum do sistema: se o computador começar a agir de maneiras incomuns, como abrir e fechar programas automaticamente na inicialização ou durante a operação, ou não permitir o acesso a determinados softwares, pode ser um sinal de que o sistema foi comprometido;
- Arquivos ausentes ou modificados: esse código malicioso pode roubar informações pessoais, como senhas ou dados de cartão de crédito, e pode modificar ou excluir arquivos;
- Erros inesperados ou mensagens de erro: se você receber mensagens de erro ou solicitações de acesso ou modificação, reais ou falsas, isso pode ser um sinal de comportamento incomum e suspeito.
