Noll
Den Necurs hackare har lagt till möjligheten att snoka i sina vanliga malware nyttolast.
Bild: iStock
Anfallare bakom en av världens mest ökända botnät har lagt till en annan sträng på sin lyra, ger dem möjlighet att ta skärmdumpar av datorer av offren är infekterade med skadlig kod.
Efter att tidigare ha varit inaktiva under större delen av första hälften av året, Necurs botnät har nyligen genomgått ett uppsving, distribuera miljontals skadlig e-post – stora delar av den som har närmast varit att sprida Locky ransomware.
Det har också varit kända för att leverera Trickbot bank trojan, som anger anfallare bakom det har sina fingrar i många pajer.
Men inte nöjd med bara för att, wow de bakom Necurs – en zombie armé av över fem miljoner hackade enheter – är också bifoga en downloader med funktionalitet att samla in telemetery från infekterade offer.
Upptäckt av forskare vid Symantec, Necurs downloader kan ta screengrabs infekterade maskiner och skicka dem tillbaka till en avlägsen server. Den innehåller också en felrapportering funktionen som skickar information tillbaka till angriparna på alla frågor downloader-möten när de utför sin verksamhet.
Den här funktionen föreslår angriparna är aktivt försöker att samla operativa underrättelser om resultatet av deras kampanjer på ungefär samma sätt legitim programvara leverantörer samla in felrapporter för att förbättra sina produkter. Men i det här fallet, rapporterna är utformade för att hjälpa angriparna upptäcka problem och förbättra chanserna för att den skadliga koden gör sitt jobb.
“Efter allt, du kan inte räkna med offren för att rapportera om fel och problem,” not forskarna.
Se även: Vad är nätfiske? Hur att skydda dig från bedrägeri post och mycket mer
Som andra Necurs kampanjer, dessa attacker börjar med nätfiske-e-post – denna gång med drag av en bluff-faktura. Om detta bifogad fil öppnas, det kommer att ladda ner en JavaScript, vilket i sin tur kommer att ladda ner en Locky eller Trickbot nyttolast, beroende på den specifika kampanjen.
När lastas på systemet, downloader driver också ett PowerShell-skript som tar en skärm tag och sparar det till en fil med namnet ‘generalpd.jpg” som sparas och laddas upp till en avlägsen server för vidare analys av angriparna.
Den senaste månaden eller så har sett Necurs mer aktiv än vid någon punkt i år, med en hög fokus på distribution av Locky, i en sådan omfattning att det nästan återtagit krona, som kungen av ransomware.
För att vara så skyddad som möjligt mot hot som distribueras av Necurs botnet, rekommenderar Symantec security programvara, operativsystem och andra program är alltid hålls aktuell och att vara extremt misstänksam mot oönskad e-post – särskilt om de innehåller länkar eller bifogade filer.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Locky ransomware: Varför detta hot som hela tiden kommer tillbaka rysk hacker åberopat sig skyldig till get-rich-quick botnet [MAG] Botnät: Inne i loppet för att stoppa den mest kraftfulla vapen på internetWhy brottslingar med hjälp av denna gamla teknik för att ta it-angrepp tillbaka till futureThis är när ditt företag är mest sannolikt att drabbas av skadliga spam-attacker [TechRepublic]
0