Necurs botnet está de vuelta con un Locky actualizado

La infame botnet Necurs está de nuevo activa después de una ausencia repentina de un mes. Proofpoint está observando envíos masivos que difunden una versión mejorada del cifrador Locky y el troyano bancario Dridex.

Según los expertos, la nueva campaña de spam, de varios millones de envíos, se lanzó hace una semana. Esta es la primera manifestación de la actividad de Necurs, que viene siendo registrada por Proofpoint desde el 31 de mayo. “El análisis de la dirección IP del remitente de correo asociada con este envío masivo puso de manifiesto que Necurs está de nuevo en funcionamiento, – escriben los investigadores en el blog. – Desafortunadamente, podemos esperar que las campañas de correo electrónico que difunden Dridex y Locky se conviertan en una seria amenaza”.

Muchas personas consideran que Necurs es una de las mayores redes de bots (con 6,1 millones de bots), responsable de causar pérdidas millonarias por difundir ramsonware y el troyano Dridex. El bloqueador criptográfico Locky es conocido sobre todo por el famoso ataque contra el Centro presbiteriano de Hollywood, que dejó a los extorsionadores una ganancia de 17 000 dólares y Dridex, por el robo de decenas de millones de dólares a las víctimas británicas y estadounidenses de la infección.

Según Proofpoint, hasta hace poco, el trío Necurs, Dridex y Locky daba a los atacantes un ingreso estable de 100 000 a 200 000 dólares diarios. Pero el primero de junio Necurs desapareció del radar, y la populación de Locky y Dridex comenzó a declinar. “¿Por qué Necurs dejó de funcionar? No lo sabemos, pero podemos suponer que se debió a fallas en el servidor de administración de la botnet” – declaró el vicepresidente Proofpoint, Kevin Epstein, que supervisa la labor del Centro de respuesta a las amenazas de Internet.

El reinicio de la actividad de Necurs también fue notado por los investigadores de AppRiver, MalwareTech y Deloitte. Según Deloitte, los nuevos correos electrónicos maliciosos distribuidos desde esta botnet, escritos en mal inglés, se camuflan como una notificación de factura emitida y firmada por un “director de finanzas” con un nombre elegido al azar. El análisis del adjunto en formato ZIP que llevó a cabo Proofpoint mostró que contenía un código JavaScript cuya ejecución resulta en la carga de Locky.

Los investigadores también observaron que el nuevo cargador de este malware cuenta con un método de protección contra el análisis. Ahora es capaz de saber cuándo se lo ejecuta en una máquina virtual y utiliza un interesante mecanismo de ejecución intermodular de la carga útil, que Epstein denomina “zapateo en la memoria”. Después de hacer todas las comprobaciones, el cargador desempaca el código binario de Locky mediante RtlDecompressBuffer y reescribe la imagen del cargador original. Esto le permite cambiar la ubicación del código de los comandos de Locky para dificultar el análisis manual de los volcados de memoria.

Según Epstein, Proofpoint está empezando a registrar signos de reactivación de Locky, provenientes de la botnet resucitada. El experto estima que Necurs ahora genera de 80 a 100 millones de mensajes al día.

Fuentes

Threatpost