Necurs ботнеті FlawedAmmyy малварьді таратып, банктерге шабуыл жасайды

Cofense  компаниясының АҚ-мамандары Necurs ботнетінің жаңа спам-кампаниясы банктерге қарсы бағытталып, FlawedAmmyy малварьді тарататынын ескертті.

Necurs –әлемдегі ең ірі спам ботнеттерінің бірі және ол кем дегенде 2012 жылдан бері белсенді. Оның құрамына миллиондаған зақымдалған хосттар кіреді. Necurs өткен жылдары банктік Dridex трояны, Locky, Scarab және Jaff шифрлаушылары сияқты белгілі зиянкестерді таратуға пайдаланылған болатын.

DGA, P2P және .bit домендерін пайдалану нәтижесінде көп жылдар бойы «қолданыстағы» ботнеттің соңғы апталарда арта түскен белсенділігі байқарлық.   Proofpoint сарапшылары ең жақын арада Necurs әзірше әзірлеу үстінде екені айқын жаңа қатер – Marap дропперін тарата бастағанын айқындағанын естеріңізге салайын.

Енді Cofense талдаушылары өткен аптада Necurs бағыты шектеулі кампания өткізіп, оның нысанасы банктік сектор болғанын хабарлады. Зерттеушілердің деректері бойынша кампания 3700 астам банктік домендерді қамтып, тек қана соларға шоғырланды. Шағын өңірлік банктермен қатар, әлемнің ең ірі қаржы мекемелеріне де шабуыл жасалды.

Necurs операторлары .pub (Microsoft Office Publisher) және PDF файлдары қамтылған зиянды спамның көмегімен бірнеше ай бұрын ботнеттің пейлоадтарының бірі ретінде байқалған FlawedAmmyy малварьді таратқан.

Аталған зиянкес Ammyy Admin-нің қашықтықтан әкімшілендірудің рұқсат етілген аспабы болып табылатын жария етілген бастапқы кодының базасында құрылған деп саналады. FlawedAmmyy зиянкестерге құрбандардың жүйелеріне авторланусыз қол жеткізу мүмкіндігін берумен қатар, өздерінің операторларынан алынған түрлі командаларды орындау үшін де пайдаланылады.  Мәселен, малварь файлдардың менеджеріне қолжетімділікті қамтамасыз етуі, экранды көрсетуі, ОЖ визуалды әсерлерін ажыратуы, RDP SessionsService, аудиочатты пайдалануы мүмкін және тағы басқа.

Зерттеушілер .pub файлдарын кіріктірілген зиянды бағдарламалар ретінде пайдалану, жан-жағынан алып қарағанда, Necurs жұмысындағы қорғау құралдарын ескермеуге бағытталған тағы бір өзгеріс болып табылады деп жазады. Себебі Office-нің басқа қосымшалары сияқты Microsoft Publisher макростармен жұмыс істеуді қолдап отырады, алайда Word немесе Excel жағдайында орын алатындай, қорғау механизмдері оларды автоматты түрде бұғаттамайды.

Осы спам-кампанияны байқаған Trustwave компаниясының сарапшылары да Necurs-тің басқа операцияларымен салыстырғанда, оның ауқымын өте қарапайым деп атауға болады деп жазады.  Trustwave талдаушылары Cofense ұжымдастарының қорытындыларын растап, шабуыл жасаушылар FlawedAmmyy-ні банктік секторда таратуға әрекет жасайтынымен келіседі.

Ақпарат көзі: www.xakep.ru