Ramnit refait parler de lui. Tristement célèbre cheval de Troie, dont le code source repose en grande partie sur Zeus, ce malware créé au début des années 2010 a plusieurs millions de postes de travail infectés à son tableau de chasse. Ciblant à l'origine les entreprises du secteur bancaire, Ramnit s'était depuis diversifié en touchant également les entreprises des secteurs de l'industrie, de la distribution ou encore du e-commerce et des réseaux sociaux (Facebook, Twitter, YouTube...). Si l'actualité des malwares s'était recentrée ces dernières années sur les ransomwares - et dernièrement sur le cryptominage - cela n'empêche pas aujourd'hui le célèbre trojan de revenir sur le devant de la scène.

F5 Labs et F5 Security Operations Center ont analysé les configurations de codes malveillants pour les logiciels de banque de Ramnit actives en février et mars 2019. Ils ont découvert que les auteurs de Ramnit ciblaient une nouvelle fois largement les sites web de services financiers, en particulier en Italie. « Les banques italiennes ont constitué une grande partie des cibles de cette configuration. La France et le Royaume-Uni (en particulier les banques basées en Écosse) ont également été des cibles prisées », ont expliqué dans un billet les chercheurs en sécurité Remi Cohen et Roy Moshailov. 

Des attaques par injection de code malveillant

Ramnit permet des attaques par injection de code malveillant pour permettre à un attaquant de voler des informations d'identification ou des informations personnelles de compte, permettant ainsi le vol de fonds. Par ailleurs, plusieurs mots en français, italien et anglais sont inscrits dans le code de Ramnit : « C'est une innovation que nous n'avons pas vue dans les configurations précédentes de Ramnit. Il semble que les auteurs de Ramnit agissent sur un spectre plus large dans l’espoir de contaminer aléatoirement des sites web », précisent le rapport.

D'après les chercheurs, 70% des cibles de Ramnit sont localisées en Europe. Au sein des différents pays touchés, l'Italie arrive en tête des pays visés par les attaques de ce trojan (près de 50%), devant les Etats-Unis (environ 30%) ainsi que la France et la Grande-Bretagne (plus de 10% chacun). En plus des mots cibles simples, Ramnit inclut également le nom d'un opéra italien et quelques noms de domaine mal orthographiés. Les cibles hors domaine de cette configuration incluent: !*-sys.com* !*ocsp.* *control* !*ads.* !*office* *corp* !*analytic* !*outlook* *Customer* !*api.* !*stream* *Dashboard* !*bam.nr-data.net* !*track* *identity* !*chat* !*trouter.io* *importo* !*cloud* !*update* *login* !*download* !*upload* *Main* !*events* !*video* *manager* !*game* !http://* *panel* !*gigaup13b.allegati.tim.it* *access* *payment* !*gstatic.* *account* *register* !*hub* *admin* *secure* !*iltrovatore.it* *Authenticate* *sepa* !*iolam.it* *authentipec* *sign* !*lampoilbro* *bank* *trade* !*messenger* *basic* *virement* !*metric* et *bonifico*.

Amazon, Google et Twitter parmi les sites cibles

Les chercheurs de F5 ont par ailleurs établi une liste de sociétés et sites web ciblées en fonction de cette configuration de mots-clés.

Bing https://www.bing.com/fd/ls/lsp.aspx USA Search Engine
WebPT https://app.webpt.com/ping.php* USA Healthcare/Electronic Medical Records
New Relic Browser https://*bam.nr-data.net* USA Web Services
Google, LLC https://googleads.g.doubleclick.net/pagead/ads USA Online Advertising
Cure MD https://cloud8.curemd.com* USA Healthcare/Electronic Medical Records
Microsoft https://word-view.officeapps.live.com* USA Productvity
TrackJS https://capture.trackjs.com* USA Web Services
AirBnB https://www.airbnb.com* USA Travel
SoundCloud https://*soundcloud.com* USA Music
Tyler Technologies https://*tylertech.com* USA Computer Software
Microsoft https://outlook.live.com/owa/service.svc* USA Email/Communications
Expedia https://oms.expedia.com* USA Travel
Yahoo https://mg.mail.yahoo.com* USA Email/Communications
Google, LLC https://mail.google.com/mail/* USA Email/Communications
Clicktale https://*clicktale.net* USA Digital Analytics
Yahoo https://geo.query.yahoo.com* USA Maps
Yahoo https://finance.yahoo.com* USA News
Go daddy https://email12.godaddy.com* USA Email/Communications
tSheets https://ilweb15.tsheets.com/ajax USA Productvity
Amazon https://music-xray-service.amazon.com/ USA Music
SpotX https://*spotxchange.com* USA Online Advertising
Dropbox https://*dropbox.com* USA Web Services
Amazon https://fls-na.amazon.com/1/bit-reporter/1/OE USA Web Services
Microsoft https://t.urs.microsoft.com/urstelemetry.asmx* USA Web Services
Google, LLC https://photos.google.com* USA Video/Image Hosting
Google, LLC https://mail.google.com/cloudsearch* USA Email/Communications
Google, LLC https://hangouts.google.com/webchat/* USA Email/Communications
Facebook https://*facebook* USA Social networking
Youtube , LLC https://*youtube* USA Video/Image Hosting
Twitter https://*twitter* USA Social networking
Instagram https://*instagram* USA Social networking
Flickr https://*flickr.com* USA Video/Image Hosting
Linkedin https://*linkedin.com* USA Social networking
Conviva https://*conviva.com* USA Digital Analytics
Google, LLC https://www.google-analytics.com* USA Digital Analytics
Google, LLC https://safebrowsing.google.com/* USA Web Services
Google, LLC https://translate.google.com/* USA Email/Communications
Google, LLC https://*clients1.google.com* USA Web Services
Google, LLC https://*clients2.google.com* USA Web Services
Google, LLC https://*clients4.google.com* USA Web Services
Google, LLC https://*clients5.google.com* USA Web Services
Google, LLC https://*clients6.google.com* USA Web Services
Google, LLC https://ogs.google.com/u/0/_/notifications/count USA Web Services
Google, LLC https://*googleapis.com* USA Web Services
Google, LLC https://*talkgadget.google.com* USA Email/Communications
Google, LLC https://0.client-channel.google.com* USA Web Services
Google, LLC https://plus.google.com/u/* USA Social networking
Google, LLC https://play.google.com/* USA Computer Software
Google, LLC https://drive.google.com/* USA Productvity
Google, LLC https://docs.google.com/* USA Productvity
Google, LLC https://notifications.google.com/u* USA Productvity
Google, LLC https://*client-channel.google.com* USA Web Services
Google, LLC https://apis.google.com* USA Web Services
Google, LLC https://calendar.google.com* USA Productvity
Etsy https://*etsy.com* USA E-Commerce
Issu https://*issuu.com* USA News
Amazon https://music.amazon.com* USA Music
Yahoo https://comet.yahoo.com/comet USA Online Advertising
Yahoo https://pr.comet.yahoo.com/comet USA Online Advertising
Apple https://p54-bookmarks.icloud.com* USA Web Storage
Grendel CRM https://www.grendelonline.com* USA Financial Technology
Yelp https://www.yelp.com* USA Travel
LiveVol https://secure.livevol.com* USA Financial Technology
Google, LLC https://www.google-analytics.com/collect USA Digital Analytics
Amazon https://fls-na.amazon.com/1/batch/1/OE/ USA Web Services
Toys"R"Us https://edq.toysrus.com/* USA E-Commerce
tSheets https://azweb16.tsheets.com/ajax* USA Productvity
Google, LLC https://beacons.gvt2.com/domainreliability/upload* USA Web Services
Pandora Radio https://www.pandora.com* USA Music
Google, LLC https://www.google.com* USA Search Engine
Microsoft https://urs.microsoft.com/urs.asmx* USA Web Services
Yahoo https://udc.yahoo.com/v2/public* USA Web Services
Full Story https://r.fullstory.com/rec/* USA Digital Analytics
Mozilla https://incoming.telemetry.mozilla.org* USA Web services
Microsoft https://msub03.manage.microsoft.com/ AdminAPIWebService/adminapi.svc/silverlightXml USA Web Services
Full Slate https://app.fullslate.com/admin/journal/commit?poll USA Productvity
Optimizely https://logx.optimizely.com/log/event USA Digital Analytics
Expedia https://www.expedia.com/api/datacapture/track USA Travel
  https://s.acexedge.com*    
Scanmarket https://*scanmarket.com* USA Computer Software
Intuit Inc. https://*intuit.com* USA Financial Technology
  https://*crdui.com*    
 Yahoo https://www.yahoo.com*    

crédit : F5 Labs et F5 Security Operations Center.

« Les auteurs de programmes malveillants les plus sophistiqués d’aujourd’hui échappent à la détection et démontrent leur connaissance des cibles en utilisant de nouvelles techniques pour contourner les mécanismes de défense de la cible. Nous constatons cette tendance dans presque tous les éléments de code issus de logiciels malveillants bancaires », analysent les chercheurs de F5 Labs et F5 Security Operations Center.