De laatste keer dat we schreven over de Necurs botnet was in januari, toen het werd gebruikt in Locky ransomware distributieactiviteiten.
Necurs werd voornamelijk gebruikt om spam e-mails te verspreiden met het oog op user systemen te infecteren. Het botnet meestal geïnfecteerde systemen met ransomware. Rond 1 juni, 2016, de botnet vrijwel gestopt met al haar activiteiten. Het nalaten van Necurs betekende een daling van kwaadaardige e-mail spam. Later in 2016, Necurs terug was wederom.
belangwekkend, terwijl Necurs werd getrokken uit de malware scene, was er een significante afname van spam campagnes. Bovendien, het botnet was beneden voor enige tijd, omdat de auteurs waren gericht op waardoor het meer verfijnde. En is frequent gebruikt, meer veiligheidsmaatregelen konden detecteren en neutraliseren.
Verwant: Locky File Virus 2017: Pas op voor e-mails met Twice gezipte bijlagen
Necurs Botnet Going DDoS?
Wat gebeurt er met Necurs botnet nu? Volgens een nieuwe studie uitgevoerd door AnubisNetworks Lab uitgevoerd, Necurs is meer dan een spambot. Het botnet is een modulair stuk malware gemaakt van de belangrijkste bot module en een userland rootkit. Blijkbaar, Necurs kunnen dynamisch extra modules te laden, ook. tot deze conclusie komen de onderzoekers maakten een aantal zeer intrigerende observaties.
“Ongeveer een half jaar geleden merkten we dat naast de gebruikelijke haven 80 communicatie, een Necurs geïnfecteerde systeem communiceert met een reeks IP-adressen op een andere poort gebruiken, wat leek op, een ander protocol,” Het team van onderzoekers zei.
Het team merkte een verzoek aan twee verschillende modules te laden terwijl het decoderen van de opdracht & controle mededelingen van de botnet. Eén van de modules was bedoeld voor spam, terwijl de andere, een proxy module, was niet bekend tot dat moment. De tweede module werd gevangen in september 2016, maar het kan rond zijn eerder dan dat.
Verwant: Trojan.Mirai.1: De Mirai DDoS Botnet Goes Windows
Na wat zorgvuldig onderzoek werd vastgesteld dat er een commando dat de bot zou leiden om te beginnen met het maken van HTTP of UDP verzoeken om een willekeurig doelwit in een eindeloze lus. Met andere woorden, deze beschrijving past bij een DDoS-aanval.
“Dit is met name interessant gezien de omvang van de Necurs botnets (de grootste, wanneer deze module werd geladen, heeft meer dan 1 miljoen actieve infecties per 24 uur). Een botnet dit groot kan waarschijnlijk produceren een zeer krachtige DDOS-aanval,” de onderzoekers verklaard.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: