Noll
Den Necurs botnät har kopplats till en ny kampanj mot finansiella institutioner i syfte att sprida Remote Access-Trojaner (Råttor).
Enligt Cofense, kampanjen startade den 15 augusti. Spam-meddelanden skickades en masse till 2 700 banker.
Men det som gör denna kampanj är intressant är att alla mål har banken anställda, vilket tyder på en nivå av spear phishing.
“Det fanns ingen gratis e-postleverantörer i denna kampanj, signalering tydlig avsikt från angripare att infiltrera banker specifikt” Cofense säger.
Den Necurs botnet, kallas internt av Proofpoint som TA505, är en av de största spam generatorer i tillvaron.
Den kortlivade kampanj som lanserades av botnät plötsligt stannade ungefär åtta timmar efter att bli upptäckt.
De spam e-postmeddelanden i denna kampanj är grundläggande och se ut att komma från Indien. Meddelandet titlar är enkla, för de har antingen “Begäran BOI” eller “Betalning Råd” med ett slumpmässigt nummer som bifogas.
Men, den skadliga koden är långt ifrån enkelt.
CNET: Australiens största bank förlorade poster för 20 miljoner konton
Som en paus utanför normen för botnät, det är dessutom av weaponized Microsoft Publisher-filer som är knutna till den bedrägliga e-postmeddelanden. .PUB-filer innehåller inbäddade makron som en gång laddat ner och öppnade, då griper en nyttolast från en fjärrvärd. Ett mindre antal mål utfärdades skadlig .PDF-bilagor.
Se även: ‘Hacky hack hack’: Tonåring gripen för att bryta sig in i Apples nätverk
“Som Word och Excel, Publisher har förmågan att bädda in makron” Cofense säger. “Så det är bara när du känner dig säker på ett lager försvar för att skydda dig från skadliga Word-dokument, Necurs anpassar sig och kastar du en curveball.”
Malware nyttolast är FlawedAmmyy RÅTTA. FlawedAmmyy är baserad på den läckta källkoden av den legitima Ammyy Admin remote desktop control software.
Trojanen kan ta kontroll över en infekterad dator är värd, att ge fjärråtkomst till ett hot skådespelare, samt att stjäla känsliga data. Forskare säger att det skadliga programmet kan även fungera som ett “brohuvud för ytterligare rörelse i sidled inom organisationen.”
TechRepublic: BRITTISKA banken DEN mardröm som låst ut 1,9 miljoner kunder är exakt vad som inte borde hända
Necurs var först såg under 2012 och slog spotlight för flera år sedan efter hot aktörer utnyttjas botnet för att sprida Dridex bank Trojan och Locky ransomware. Forskarna vet inte vem som ligger bakom kampanjen, eller varför attacken var så kort livslängd.
På samma gång, forskare från Proofpoint säga botnät används även för att distribuera en ny stam av skadlig kod. Dubbade Marap, nyttolasten dropper kan stjäla information om systemet och får ytterligare moduler för ytterligare infektion från C&C-servrar.
Mål i de senaste kampanj varierade från små banker att några av de största och mest välkända finansinstitut. Medan övergreppet har slutat, för nu finns det inga garantier för bankerna inte kommer snart igen riktas.
Tidigare och relaterade täckning
Öppen källkod sårbarheter som inte kommer att dö: den Som är skyldig? Mozilla våtservetter 23 Firefox add-ons från kartan för att spåra användarnas verksamhet Allvarlig sårbarhet exponerar WordPress hemsidor till attack
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0