Nul
De Necurs botnet is gekoppeld aan een nieuwe campagne gelanceerd tegen financiële instellingen in voor het verspreiden van Remote Access Trojans (Ratten).
Volgens Cofense, de campagne is gestart op 15 augustus. Spam berichten verstuurd werden en masse tot 2700 banken.
Maar wat maakt deze campagne interessant is, is dat alle slachtoffers waren medewerkers van de bank, die wijst op een niveau van spear phishing.
“Er waren geen gratis e-mail providers in deze campagne, signalering duidelijke bedoeling door de aanvallers infiltreren banken in het bijzonder,” Cofense zegt.
De Necurs botnet, intern bekend door Proofpoint als TA505, is één van de grootste spam generatoren in het bestaan.
De korte campagne gelanceerd door het botnet abrupt gestopt met ongeveer acht uur na te zijn ontdekt.
De spam e-mails in deze campagne zijn basic en lijken te komen uit India. Het bericht titels zijn simpel, zoals ze zijn “Aanvraag BOI” of “Betaling Advies” met een willekeurig aantal verbonden.
Echter, de kwaadaardige lading is verre van eenvoudig.
CNET: Australië ‘ s grootste bank verloren records voor 20 miljoen accounts
Als een pauze buiten de norm voor het botnet, is er de toevoeging van bewapende Microsoft Publisher-bestanden die zijn gekoppeld aan het frauduleuze e-mails. Het .PUB bestanden met ingesloten macro ‘ s die, eenmaal gedownload en geopend, trekt vervolgens een payload van een externe host. Een kleiner aantal doelstellingen werden uitgegeven kwaadaardige .PDF-bijlagen.
Zie ook: ‘Hacky hack hack’: Tiener gearresteerd voor het inbreken in Apple ‘ s netwerk
“Zoals Word en Excel, Publisher heeft de mogelijkheid om het insluiten van macro’ s,” Cofense zegt. “Dus als je het gevoel hebben vertrouwen in een gelaagde beveiliging beschermt u tegen kwaadaardige Word-documenten, Necurs past en gooit u een curveball.”
De malware payload is de FlawedAmmyy RAT. FlawedAmmyy is gebaseerd op de gelekte broncode van de legitieme Ammyy Admin remote desktop control software.
De Trojan is in staat in beslag te nemen controle van een geïnfecteerde machine host, het verstrekken van externe toegang tot een bedreiging van de acteur, evenals het stelen van gevoelige gegevens. Onderzoekers zeggen dat de malware kan ook dienen als een “speerpunt voor verdere zijdelingse beweging binnen de organisatie.”
TechRepublic: BRITSE bank nachtmerrie die vergrendeld 1,9 M klanten is precies wat niet moet gebeuren
Necurs werd voor het eerst gespot in 2012 en sloeg de schijnwerpers enkele jaren geleden na bedreiging actoren benut de botnet, het verspreiden van de Dridex banking Trojan en Locky ransomware. De onderzoekers weten niet wie er achter de campagne, of waarom de aanval was dus van korte duur.
Op hetzelfde moment, onderzoekers van Proofpoint zeggen dat het botnet wordt ook gebruikt voor het distribueren van een nieuwe stam van malware. Nagesynchroniseerde Marap, de lading dropper is in staat om te stelen van informatie over het systeem en de extra modules voor verdere infectie van de C&C-servers.
De doelen in de nieuwste campagne varieerde van kleine banken van enkele van de grootste en meest bekende financiële instellingen. Tijdens de aanval is gestopt, is het voor nu, er zijn geen garanties banken niet snel zal opnieuw worden gericht.
Vorige en aanverwante dekking
Open-source kwetsbaarheden die zal niet sterven: Wie is de schuldige? Mozilla doekjes 23 Firefox add-ons van de kaart voor het bijhouden van de activiteiten van de gebruiker Ernstig beveiligingslek bloot van WordPress websites aan te vallen
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0