Nul
Den Necurs botnet er blevet knyttet til en ny kampagne mod de finansielle institutioner med henblik på at sprede fjernadgang Trojanske heste (Rotter).
Ifølge Cofense, kampagnen startede den 15 August. Spam-beskeder blev sendt massevis til 2.700 banker.
Men hvad gør denne kampagne interessante er, at alle mål var bank ansatte, hvilket tyder på en plan for spear phishing.
“Der var ingen gratis e-mail-udbydere i denne kampagne, signalering klare hensigt med de angribere til at infiltrere banker specifikt,” Cofense siger.
Den Necurs botnet, kendt internt som Proofpoint som TA505, er en af de største spam-generatorer i eksistens.
Kortvarig kampagne lanceret af botnet-pludselig stoppede cirka otte timer efter at være blevet opdaget.
Spam e-mails i denne kampagne, er grundlæggende og synes at være, der kommer fra Indien. Beskeden titler er enkel, for, som de har enten “Anmodning BOO” eller “Betaling Rådgivning” med en random number vedlagt.
Men, det ondsindet payload er langt fra simpelt.
CNET: Australien ‘ s største bank tabte optegnelser for 20 millioner konti
Som en pause uden for normen for den botnet, der er tilføjelsen af weaponized Microsoft Publisher-filer, der er knyttet til den falske e-mails. .PUB filer indeholder integrerede makroer som, når det er downloadet og åbnet, så griber en nyttelast fra en ekstern vært. Et mindre antal af mål, der blev udstedt skadelig .PDF-filer.
Se også: ‘Hacky hack hack’: Teen anholdt for at bryde ind i Apple ‘ s netværk
“Som Word og Excel, Publisher har evnen til at integrere makroer,” Cofense siger. “Så bare når du føler dig sikker på, om et lagdelt forsvar er at beskytte dig mod ondsindede Word-dokumenter, Necurs tilpasser sig og kaster du en curveball.”
Den malware nyttelast er den FlawedAmmyy ROTTE. FlawedAmmyy er baseret på den lækkede kildekode legitime Ammyy Admin remote desktop kontrol software.
Den Trojan er i stand til at tage kontrol af en inficeret maskine, der er vært, der giver fjernadgang til en trussel skuespiller, såvel som at stjæle følsomme data. Forskere siger, at malware kan også tjene som et “brohoved til yderligere lateral bevægelse i organisationen.”
TechRepublic: BRITISKE bank DET mareridt, der låst ude 1,9 M kunderne er præcis, hvad der bør ikke ske
Necurs først blev opdaget i 2012 og ramte søgelyset for flere år siden efter trussel aktører udnyttet botnet til at sprede Dridex bank Trojan og Locky ransomware. Forskerne ved ikke, hvem der står bag kampagnen, eller hvorfor angrebet var så kortvarig.
På samme tid, forskere fra Proofpoint sige botnet er også bruges til at distribuere en ny stamme af malware. Døbt Marap, nyttelast dropper er i stand til at stjæle oplysninger om systemet og modtager ekstra moduler for yderligere infektion fra C&C servere.
De mål, der i den seneste kampagne varierede fra små banker, at nogle af de største og mest velkendte finansielle institutioner. Mens angrebet er stoppet, for nu er der ingen garantier for, at bankerne ikke vil snart igen være målrettet.
Tidligere og relaterede dækning
Open source-sårbarheder, som ikke vil dø: Hvem har skylden? Mozilla klude 23 Firefox add-ons fra kort til sporing af brugeraktivitet Alvorlig sårbarhed udsætter WordPress hjemmesider til at angribe
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0