Ramnit è un malware di tipo "bancario", cioè nato con il chiaro intento di rubare credenziali di banche online e dati di carte di credito. Fu notato per la prima volta nel 2010 e si diffonde nascondendosi in file eseguibili, HTML e alcuni file di MS Office. Una minaccia seria, ma ormai ben conosciuta da tutti i programmi di sicurezza che ne limitavano l'operato in maniera efficace.
I servizi come Steam sono degli eccellenti banchi di prova. I servizi di sicurezza sono molto ben sviluppati, ma non si hanno addosso tutte le forze di polizia che si scatenano quando metti sotto stress un server bancario.
Questo fino a quando i ricercatori di Trusteer, una società specializzata in sicurezza, hanno scoperto una nuova variante del malware che va a caccia di credenziali Steam, usando una tecnologia molto avanzata che lascia subodorare qualcosa di più complesso. In pratica, il nuovo Ramnit usa una HTML injection ben pensata che non dà agli utenti alcun indizio sul fatto che le password vengano rubate e, cosa più importante e preoccupante, riesce a evitare di allarmare anche il server.
Scendendo un po' nel dettaglio, quando ci si connette al server di Steam e si inseriscono username e password, il modulo che viene inviato viene codificato usando la chiave pubblica del server. Ramnit, però, modifica la pagina in modo che il modulo venga "escluso" dalla codifica, quindi ne legge il contenuto, cancella il codice "in più" che ha aggiunto e passa i dati al modulo codificato perché li invii al server.
In questo modo, a schermo non ci sono modifiche nell'aspetto della pagina, che potrebbero allarmare l'utente, ma soprattutto non si verificano cambiamenti neanche nel codice html che torna al server e che allarmerebbero il sistema di controllo di Steam. Ogni servizio online "serio", infatti, ha una procedura di controllo di integrità dei dati che gira sui server dell'azienda, in modo da allertarli sul possibile operato dei malware.
Ramnit elude questo controllo e questo lascia pensare che, in realtà, più che un vero attacco a Steam questo sia un banco di prova per l'efficacia di questa tecnologia nell'aggirare i controlli. Il gruppo di hacker che ha sviluppato la tecnica, probabilmente, lascerà decadere la nuova versione di Ramnit ma metterà da parte i dati raccolti sulla sua efficacia in modo da includerne la tecnologia in strumenti più pericolosi, magari mirati a intrusioni su sistemi cruciali.