L'ultima volta che abbiamo scritto circa la botnet Necurs era nel mese di gennaio, quando è stato utilizzato in operazioni di distribuzione ransomware Locky.
Necurs è stato utilizzato principalmente per diffondere email di spam al fine di infettare i sistemi degli utenti. La botnet di solito sistemi infetti con ransomware. Intorno 1 giugno, 2016, la botnet praticamente smesso di tutte le sue attività. I inazioni di Necurs segnato una diminuzione dello spam e-mail dannoso. Più tardi, nel 2016, Necurs è tornato ancora una volta.
È interessante notare che, mentre Necurs è stato tirato dalla scena del malware, c'è stata una diminuzione significativa nelle campagne di spam. Inoltre, la botnet è sceso per qualche tempo perché i suoi autori miravano a rendere più sofisticato. Come è stato usato frequentemente, sempre più misure di sicurezza sono stati in grado di rilevare e neutralizzarlo.
Correlata: Locky Virus File 2017: Attenzione-mail con allegati due volte-zip
Necurs Botnet DDoS Andando?
Quello che sta accadendo con Necurs botnet ora? Secondo un nuovo studio condotto da AnubisNetworks Lab, Necurs è più di un spambot. La botnet è un pezzo modulare malware fatta del modulo bot principale e un rootkit userland. Apparentemente, Necurs possono caricare dinamicamente moduli aggiuntivi, troppo. Per giungere a questa conclusione i ricercatori hanno fatto alcune osservazioni abbastanza intrigante.
“Circa sei mesi fa, abbiamo notato che oltre al consueto porto 80 comunicazioni, un sistema infettato Necurs stava comunicando con una serie di indirizzi IP su una porta differente utilizzando, quello che sembrava essere, un protocollo diverso,” Il team di ricercatori, ha detto.
Il team ha notato una richiesta di caricare due moduli differenti durante la decrittografia del comando & comunicazioni di controllo della botnet. Uno dei moduli era per lo spam, mentre l'altra, un modulo di delega, Non era stato conosciuto fino a quel momento. Il secondo modulo è stato catturato nel mese di settembre 2016, ma potrebbe essere stato in giro prima di quello.
Correlata: Trojan.Mirai.1: Il Mirai DDoS Botnet Goes di Windows
Dopo un po 'attenta ricerca è stato stabilito che non vi era un comando che farebbe scattare il bot per iniziare a fare richieste HTTP o UDP per un obiettivo arbitrario in un ciclo infinito. In altre parole, questa descrizione si adatta un attacco DDoS.
“Ciò è particolarmente interessante in considerazione la dimensione delle botnet Necurs (il più grande, dove questo modulo è stato in corso di caricamento, ha più di 1 milioni di infezioni attive ciascuno 24 orario). Una botnet questo grande può probabilmente produrrà un potentissimo attacco DDoS,” i ricercatori hanno spiegato.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: