La dernière fois que nous avons écrit sur le botnet Necurs était en Janvier, quand il a été utilisé dans les opérations de distribution de ransomware locky.
Necurs a été principalement utilisé pour diffuser des spams pour infecter les systèmes des utilisateurs. Le botnet habituellement les systèmes infectés avec ransomware. Autour du 1er Juin, 2016, le botnet pratiquement cessé toutes ses activités. Les inactions de Necurs a marqué une diminution du spam malveillant email. Plus tard dans 2016, Necurs était de retour une fois de plus.
Intéressant, tandis Necurs a été tiré de la scène des logiciels malveillants, il y avait une diminution significative des campagnes de spam. En outre, le botnet était en baisse pendant un certain temps parce que ses auteurs visaient à le rendre plus sophistiquée. Comme il a été fréquemment utilisé, de plus en plus des mesures de sécurité ont été en mesure de détecter et de neutraliser.
en relation: Locky Virus du fichier 2017: Attention emails avec pièces jointes Twice-zippées
Necurs Botnet DDoS Going?
Qu'est-ce qui se passe avec Necurs botnet maintenant? Selon une nouvelle étude réalisée par AnubisNetworks Lab, Necurs est plus qu'un spambot. Le botnet est un morceau modulaire de logiciels malveillants fait du module de bot principal et un rootkit userland. Apparemment, Necurs peuvent dynamiquement charger des modules supplémentaires, trop. Pour arriver à cette conclusion, les chercheurs ont fait des observations très intéressantes.
“Il y a environ six mois, nous avons remarqué que, outre le port habituel 80 communications, un système infecté Necurs communiquait avec un ensemble d'adresses IP sur un port différent en utilisant, ce qui semblait être, un protocole différent,” l'équipe de chercheurs a déclaré.
L'équipe a remarqué une demande de charger deux modules différents tout en déchiffrant la commande & communications de contrôle du botnet. L'un des modules a été signifié pour le spam, tandis que l'autre, un module proxy, n'a pas été connu jusqu'à ce moment. Le second module a été pris en Septembre 2016, mais il peut avoir été autour plus tôt que cela.
en relation: Trojan.Mirai.1: Le Mirai DDoS Botnet Goes de Windows
Après quelques recherches minutieuse, il a été établi qu'il y avait une commande qui déclencherait le bot pour commencer à faire HTTP ou UDP requêtes vers une cible arbitraire dans une boucle sans fin. En d'autres termes, cette description correspond à une attaque DDoS.
“Ceci est particulièrement intéressant compte tenu de la taille des botnets Necurs (le plus grand, où ce module a été chargé étant, compte plus 1 millions d'infections actives chacune 24 heures). Un botnet ce grand peut probablement produire une attaque DDOS très puissant,” les chercheurs ont expliqué.