La última vez que escribió acerca de la red de bots Necurs fue en enero, cuando se utiliza en las operaciones de distribución ransomware Locky.
Necurs se ha utilizado principalmente para difundir mensajes de spam con el fin de infectar los sistemas de los usuarios. La botnet sistemas generalmente infectadas con ransomware. Alrededor del 1 de junio de, 2016, la botnet virtualmente detuvo todas sus actividades. Las omisiones de Necurs marcaron un descenso en el spam de correo electrónico malicioso. Más tarde 2016, Necurs estaba de vuelta una vez más.
Curiosamente, mientras Necurs fue retirado de la escena de malware, hubo una disminución significativa en las campañas de spam. Por otra parte, la red de bots no funcionó durante algún tiempo debido a que sus autores se proponían por lo que es más sofisticado. A medida que se utiliza con frecuencia, más y más medidas de seguridad fueron capaces de detectar y neutralizarlo.
Relacionado: Locky Virus Archivo 2017: Tenga cuidado con los correos electrónicos con archivos adjuntos El doble-cremallera
Necurs Botnet DDoS Going?
Lo que está sucediendo con Necurs botnet ahora? De acuerdo con un nuevo estudio llevado a cabo por el Laboratorio de AnubisNetworks, Necurs es más que un robot de spam. La botnet es una pieza modular de malware hecho del módulo principal bot y un rootkit userland. Al parecer,, Necurs pueden cargar dinámicamente módulos adicionales, demasiado. Para llegar a esta conclusión, los investigadores hicieron algunas observaciones muy interesantes.
“Hace unos seis meses nos dimos cuenta de que, además del puerto de costumbre 80 comunicaciones, un sistema infectado Necurs estaba comunicando con un conjunto de direcciones IP en un puerto diferente utilizando, lo que parecía ser, un protocolo diferente,” el equipo de investigadores dijo.
El equipo notó una petición para cargar dos módulos diferentes al descifrar el comando & comunicaciones de control de la red de bots. Uno de los módulos estaba destinado para el spam, mientras que el otro, un módulo de proxy, no se había conocido hasta ese momento. El segundo módulo fue capturado en septiembre 2016, pero puede haber existido antes de lo que se.
Relacionado: Trojan.Mirai.1: El Mirai DDoS Botnet va de Windows
Después de una investigación cuidadosa, se estableció que había un comando que activaría el bot para empezar a hacer HTTP o UDP solicitudes a un destino arbitrario en un bucle sin fin. En otras palabras, esta descripción se ajusta a un ataque DDoS.
“Esto es particularmente interesante teniendo en cuenta el tamaño de las redes de bots Necurs (el más grande, en este módulo se está cargando, Cuenta con más de 1 millones de infecciones activas cada uno 24 horas). Una botnet esta gran probabilidad puede producir un poderoso ataque DDoS,” los investigadores explicaron.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: