Botnet Necurs se reactiva y modifica su estrategia

Los especialistas de Cisco Talos señalaron un aumento de la actividad de la bonet Nercurs en la última semana de marzo y un nuevo tipo de spam distribuido a gran escala por ésta.

Se considera que Necurs es la botnet más grande del mundo. El año pasado se la utilizó sobre todo para distribuir Locky y Dridez, pero a principios del año 2017 los expertos notaron que iba disminuyendo sus actividades. La botnet terminó por desaparecer completamente y se llevó consigo buena parte del spam generado por Locky. Sin embargo, la botnet se reactivó a finales de marzo y comenzó a distribuir gran cantidad de spam en campañas fraudulentas pump-and-dump. Lo más probable es que los propietarios de la botnet estén tratando de sacarle el máximo beneficio económico.

El esquema fraudulento pump-and-dump (“inflar y vender”) se basa en la inflación artificial del valor de pequeñas acciones que están a la venta en el mercado libre. Los especuladores compran o se encargan de la comercialización de estos valores y empiezan a jugar a la alta con la ayuda de spam publicitario y simuladores de subastas, pero después, antes de la inevitable suspensión de pagos, venden las acciones por un precio mayor a su valor real, ganando la diferencia.

En estos fraudes a menudo participan mercenarios: robots, spamers y hackers entran en las cuentas de los brokers y profesionales del mercado de valores para simular la compra y venta de acciones. Los últimos ayudan a los estafadores a registrar empresas fantasma, obtener “confirmaciones” de que son acciones seguras y eludir las restricciones de la bolsa.

El 20 de marzo de 2017, Cisco Talos comenzó a observar una nueva ola de spam cuyos mensajes no contenían facturas falsas o confirmaciones de entrega de mercancía, como era habitual en la distribución de spam malicioso con Locky y Dridex. Los mensajes no contenían enlaces o archivos adjuntos maliciosos, sino que presentaban su propio resumen de noticias bursátiles, donde afirmaban que las acciones con el código bursatil $INCT, propiedad de la empresa InCapta Inc., aumentarían de valor.

Los mensajes informaban que, según fuentes de confianza, las acciones de la empresa InCapta Inc. ($INCT) serían adquiridas por el conocido fabricante de drones DJI por la generosa suma de 1,37 cada una. En el mensaje se afirmaba que los productos de InCapta “habían revolucionado la industria de los aviones no tripulados”. Los expertos recomendaban adquirir las acciones antes de la presunta compra, fijada para el 28 de marzo, es decir, antes de que el precio de la acción aumentase hasta alcanzar los 20 centavos de dólar, ya que DJI estaba dispuesta a pagar por cada acción del “prometedor” desarrollador más de un 1000% de su valor actual.

Este spam se propagó a gran escala: solo durante el 20 de marzo se enviaron decenas de miles de mensajes, la mayor parte en el lapso de pocas horas. Los datos telemétricos mostraron que Nercurs había salido de su sueño letárgico.

La empresa InCapta Inc. resultó ser un desarrollador de aplicaciones. El número de acciones adquiridas durante la campaña de spam tardó solo unas horas en superar el millón y al final del día fueron más de 4,5 millones, varias veces más de lo habitual.

Después de finalizar esta campaña, Cisco Talos observó un segundo incremento de actividad y la llegada de una oleada de spam aún mayor. Los mensajes de la segunda oleada se diferenciaban de los de la primera: en ellos se utilizaba otro asunto en el mensaje y existían algunas diferencias en el cuerpo del mismo. Curiosamente, el valor de las acciones InCapta aumentó de nuevo.

No es la primera vez que Necurs participa en la difusión de mensajes de spam según el esquema pump-and-dump. La última campaña se registró poco antes de la detención de los propietarios de la botnet. Después Necurs quedó inactiva. Sin embargo, la actividad asociada a esta botnet muestra de forma muy clar como bajo la influencia de las circunstancias, cambian la metodología y las estrategias para obtener beneficios de los recursos disponibles.

Fuente: Threatpost