A última vez que escrevi sobre os Necurs botnet foi em janeiro, quando foi usado em operações de distribuição locky ransomware.
Necurs tem sido usado principalmente para e-mails propagação de spam, a fim de sistemas de usuário infecto. O botnet sistemas geralmente infectados com ransomware. Por volta de 01 de junho, 2016, a botnet praticamente parou todas as suas atividades. As omissões de Necurs marcou uma diminuição no spam de e-mail malicioso. Mais tarde, em 2016, Necurs estava de volta mais uma vez.
Curiosamente, enquanto Necurs foi retirado da cena de malwares, houve uma diminuição significativa em campanhas de spam. Além disso, a botnet foi para baixo por algum tempo, porque seus autores foram com o objetivo de torná-lo mais sofisticado. Como foi frequentemente utilizada, mais e mais medidas de segurança foram capazes de detectar e neutralizá-la.
relacionado: Locky vírus de arquivo 2017: Cuidado com e-mails com anexos Twice-compactados
Necurs Botnet Indo DDoS?
O que está acontecendo com Necurs botnet agora? De acordo com um novo estudo realizado pela AnubisNetworks Lab, Necurs é mais do que um spambot. O botnet é uma peça modular de malware feitas do módulo bot principal e um rootkit userland. Pelo visto, Necurs pode dinamicamente carregar módulos adicionais, também. Para chegar a esta conclusão, os pesquisadores fizeram algumas observações bastante intrigante.
“Cerca de seis meses atrás, notamos que, além da porta de costume 80 comunicações, um sistema infectado Necurs estava a comunicar com um conjunto de IPs numa porta diferente usando, o que parecia ser, um protocolo diferente,” a equipe de pesquisadores disse.
A equipe notou um pedido para carregar dois módulos diferentes ao descriptografar o comando & comunicações do botnet de controle. Um dos módulos foi feito para o spam, enquanto o outro, um módulo de proxy, não tinha sido conhecido até aquele momento. O segundo módulo foi pego em setembro 2016, mas pode ter sido em torno de mais cedo do que.
relacionado: Trojan.Mirai.1: A Mirai DDoS Botnet for Windows
Depois de uma cuidadosa investigação foi estabelecido que não havia um comando que iria acionar o bot para começar a fazer HTTP ou UDP pedidos para um alvo arbitrário em um loop infinito. Em outras palavras, esta descrição se encaixa um ataque DDoS.
“Isto é particularmente interessante, considerando o tamanho das botnets Necurs (o maior, onde este módulo foi sendo carregado, tem mais de 1 milhões de infecções activas cada 24 horas). Um botnet desse tamanho pode provavelmente produzir um poderoso ataque DDOS,” os pesquisadores explicaram.