Nul
De Necurs hackers hebben de mogelijkheid is toegevoegd om snoop in hun reguliere malware lading.
Beeld: iStock
Aanvallers achter één van ‘ s werelds meest beruchte botnets nog een string aan hun boog, waardoor ze te nemen screenshots van de desktops van de slachtoffers besmet zijn met malware.
Na eerder inactief zijn voor een groot deel van de eerste helft van het jaar, de Necurs botnet heeft onlangs een opleving, de distributie van miljoenen kwaadaardige e-mails – grote stukken die het meest recent is het verspreiden van Locky ransomware.
Het is ook bekend om het leveren van de Trickbot banking trojan, met vermelding van de aanvallers achter hun vingers in vele taarten.
Maar niet gelukkig met slechts dat, wow die achter Necurs – een zombie leger van meer dan vijf miljoen gehackte toestellen – ook het aansluiten van een downloader met de functionaliteit om te verzamelen telemetery van besmette slachtoffers.
Ontdekt door onderzoekers van Symantec, de Necurs downloader kunt nemen screengrabs van geïnfecteerde machines en ze terug te sturen naar een externe server. Het bevat ook een fout-rapportage functie die stuurt informatie terug naar de aanvallers op eventuele problemen met de downloader tegenkomt bij het uitvoeren van haar activiteiten.
Deze functionaliteit stelt de aanvallers actief proberen te verzamelen van operationele intelligence over de prestaties van hun campagnes op dezelfde manier legitieme software leveranciers verzamelen crashrapporten om hun producten te verbeteren. Echter, in dit geval, de rapporten zijn ontworpen om te helpen de aanvallers plek van problemen en het verbeteren van de kansen van de kwaadaardige lading zijn werk te doen.
“Immers, u niet kan rekenen op de slachtoffers rapporteren van fouten en problemen,” noot van de onderzoekers.
Zie ook: Wat is phishing? Hoe om jezelf te beschermen tegen scam e-mails en meer
Net als andere Necurs campagnes, deze aanvallen beginnen met een phishing-e-mail – deze keer met behulp van de aantrekkingskracht van een valse factuur. Als deze bijlage wordt geopend, zal het downloaden van een JavaScript dat zal op zijn beurt het downloaden van een Locky of Trickbot lading, afhankelijk van de specifieke campagne.
Als het eenmaal is geladen op het systeem, de downloader loopt ook een PowerShell script dat een scherm grijpen en slaat deze op in een bestand met de naam ‘generalpd.jpg’ die is opgeslagen en geüpload naar een externe server voor verdere analyse door de aanvallers.
De laatste maand of zo gezien heeft Necurs meer actief is dan op elk punt van dit jaar, met een bijzondere focus op het verspreiden Locky, zodanig dat het bijna teruggewonnen haar kroon van de koning van ransomware.
Om te blijven zo beschermd tegen bedreigingen die wordt verspreid door de Necurs botnet, Symantec raadt security software, besturingssystemen en andere toepassingen zijn altijd up-to-date en worden uiterst verdacht van ongevraagde e-mails – vooral als ze bevatten links of bijlagen.
LEES MEER OVER CYBER CRIME
Locky ransomware: Waarom deze dreiging blijft terugkomen russische hacker pleit schuldig aan het get-rich-quick-botnet [CNET] Botnets: In de race om te stoppen met het meest krachtige wapen op de internetWhy criminelen zijn het gebruik van deze oude techniek te nemen cyberaanvallen terug naar de futureThis is wanneer uw bedrijf het meest waarschijnlijk geraakt door schadelijke spam-aanvallen [TechRepublic]
0