Zero
Il Necurs botnet è stato collegato a una nuova campagna, lanciata contro le istituzioni finanziarie, al fine di diffondere Trojan di Accesso Remoto (Ratti).
Secondo Cofense, la campagna è iniziata il 15 agosto. I messaggi di Spam sono stati inviati in massa a 2.700 banche.
Tuttavia, ciò che rende questa campagna interessante è che tutti gli obiettivi sono stati impiegati di banca, che suggerisce un livello di spear phishing.
“Non c’erano gratuito provider di posta, in questa campagna, di segnalazione chiaro intento da parte di hacker di infiltrarsi banche in particolare,” Cofense dice.
Il Necurs botnet, conosciuto internamente da Proofpoint come TA505, è uno dei più grandi generatori di spam in esistenza.
La breve durata della campagna lanciata dalla botnet bruscamente interrotta circa otto ore dopo essere stato scoperto.
I messaggi di spam in questa campagna sono di base e sembrano essere proveniente da India. Il messaggio di titoli di semplice, troppo, in quanto include sia la Richiesta di “BOI” o “Consiglio di Pagamento” con un numero casuale in allegato.
Tuttavia, il payload dannoso è tutt’altro che semplice.
CNET: Australia la più grande banca perso il record di 20 milioni di account
Come una rottura al di fuori della norma per la botnet, c’è l’aggiunta di un’arma file di Microsoft Publisher, che sono allegati alla e-mail fraudolente. L’ .PUB file contengono macro incorporate che, una volta scaricato e aperto, poi afferra una capacità di carico da un host remoto. Un numero ridotto di obiettivi sono stati emessi dannoso .PDF file allegati.
Vedere anche: “Hacky hack hack’: Teen arrestato per aver fatto irruzione in Apple rete
“Come Word ed Excel, Publisher ha la possibilità di incorporare le macro,” Cofense dice. “Quindi, solo quando ti sentirai sicuro su una difesa a più livelli che protegge dai dannosi documenti di Word, Necurs si adatta e si lancia un curveball.”
Il payload di malware è il FlawedAmmyy RATTO. FlawedAmmyy è basata sulla leaked codice sorgente del legittimo Ammyy Admin il controllo remoto del desktop software.
Il Trojan è in grado di prendere il controllo di un computer infetto host, fornendo l’accesso remoto a una minaccia attore, così come rubare i dati sensibili. I ricercatori dicono che il malware può anche servire come una “testa di ponte per qualsiasi ulteriore movimento laterale all’interno dell’organizzazione.”
TechRepublic: la banca BRITANNICA È l’incubo che bloccato 1.9 M i clienti è esattamente quello che non dovrebbe accadere
Necurs è stato avvistato nel 2012 e ha colpito i riflettori alcuni anni fa, dopo la minaccia attori sfruttato la botnet per diffondere la Dridex i Trojan bancari e Locky ransomware. I ricercatori non sanno chi c’è dietro la campagna, o perché l’attacco è stato così breve durata.
Allo stesso tempo, i ricercatori Proofpoint dire la botnet è, inoltre, utilizzato per distribuire un nuovo ceppo di malware. Soprannominato Marap, il payload dropper è in grado di rubare le informazioni di sistema e di ricevere ulteriori moduli per ulteriori infezione da C&C server.
Gli obiettivi nell’ultima campagna variava da piccole banche di alcuni dei maggiori e più noti istituti finanziari. Durante l’assalto si è fermato, per ora, non ci sono garanzie delle banche non saranno presto di nuovo preso di mira.
Precedente e relativa copertura
Open-source vulnerabilità che non morirà: di Chi è la colpa? Mozilla salviette 23 Firefox add-on, off the map per il monitoraggio dell’attività dell’utente Gravi vulnerabilità che espone siti in WordPress per l’attacco
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0