Ботнет Necurs атакует банки, распространяя малварь FlawedAmmyy

Специалисты по ИБ компании Cofense предупредили, что новая спам-кампания ботнета Necurs направлена против банков и распространяет малварь FlawedAmmyy.

Necurs – один крупнейших спамерских ботнетов мира, активный как минимум с 2012 года. В его состав входят миллионы зараженных хостов. В прошлые годы Necurs использовался для распространения таких известных вредоносов, как банковский троян Dridex, шифровальщики Locky, Scarab и Jaff.

Ботнет, который остается «на плаву» благодаря использованию DGA, P2P и доменов .bit уже много лет, в последние недели заметно активизировался. Напоминаем, что совсем недавно эксперты Proofpoint обнаружили, что Necurs начал распространять новую угрозу — дроппера Marap, который пока явно находится в разработке.

Теперь же аналитики Cofense сообщили, что на прошлой неделе Necurs провел узконаправленную кампанию, мишенью которой стал банковский сектор. По данным исследователей, кампания охватила более 3700 банковских доменов и концентрировалась только на них. Под атаку попали как небольшие региональные банки, так и крупнейшие финансовые учреждения мира.

При помощи вредоносного спама, содержащего файлы .pub (Microsoft Office Publisher) и PDF, операторы Necurs распространяли малварь FlawedAmmyy, которая была замечена как один из пейлоадов ботнета еще несколько месяцев тому назад.

Считается, что этот вредонос построен на базе утекшего исходного кода Ammyy Admin, легитимного инструмента для удаленного администрирования. FlawedAmmyy не только предоставляет злоумышленникам возможность неавторизованного доступа к системам жертв, но также может использоваться для исполнения различных команд, полученных от своих операторов. К примеру, малварь может обеспечивать доступ к менеджеру файлов, показать экран, отключить визуальные эффекты ОС, использовать RDP SessionsService, аудиочат и так далее.

Исследователи пишут, что использование файлов .pub в качестве вредоносных вложений, судя по всему, является еще одной переменой в работе Necurs, направленной на обход защитных средств. Дело в том, что Microsoft Publisher, как и другие приложения Office, поддерживает работу с макросами, однако защитные механизмы не блокируют их автоматически, как это происходит в случае с Word или Excel.

Эксперты компании Trustwave, так же заметившие данную спам-кампанию, пишут, что в сравнении с другими операциями Necurs, ее масштабы можно назвать весьма скромными. Аналитики Trustwave подтвердили выводы коллег из Cofense и согласны с тем, что атакующие пытаются распространить FlawedAmmyy в банковском секторе.

Источник: www.xakep.ru