Noticias

Necurs botnet está de vuelta con un Locky actualizado

La infame botnet Necurs está de nuevo activa después de una ausencia repentina de un mes. Proofpoint está observando envíos masivos que difunden una versión mejorada del cifrador Locky y el troyano bancario Dridex.

Según los expertos, la nueva campaña de spam, de varios millones de envíos, se lanzó hace una semana. Esta es la primera manifestación de la actividad de Necurs, que viene siendo registrada por Proofpoint desde el 31 de mayo. “El análisis de la dirección IP del remitente de correo asociada con este envío masivo puso de manifiesto que Necurs está de nuevo en funcionamiento, – escriben los investigadores en el blog. – Desafortunadamente, podemos esperar que las campañas de correo electrónico que difunden Dridex y Locky se conviertan en una seria amenaza”.

Muchas personas consideran que Necurs es una de las mayores redes de bots (con 6,1 millones de bots), responsable de causar pérdidas millonarias por difundir ramsonware y el troyano Dridex. El bloqueador criptográfico Locky es conocido sobre todo por el famoso ataque contra el Centro presbiteriano de Hollywood, que dejó a los extorsionadores una ganancia de 17 000 dólares y Dridex, por el robo de decenas de millones de dólares a las víctimas británicas y estadounidenses de la infección.

Según Proofpoint, hasta hace poco, el trío Necurs, Dridex y Locky daba a los atacantes un ingreso estable de 100 000 a 200 000 dólares diarios. Pero el primero de junio Necurs desapareció del radar, y la populación de Locky y Dridex comenzó a declinar. “¿Por qué Necurs dejó de funcionar? No lo sabemos, pero podemos suponer que se debió a fallas en el servidor de administración de la botnet” – declaró el vicepresidente Proofpoint, Kevin Epstein, que supervisa la labor del Centro de respuesta a las amenazas de Internet.

El reinicio de la actividad de Necurs también fue notado por los investigadores de AppRiver, MalwareTech y Deloitte. Según Deloitte, los nuevos correos electrónicos maliciosos distribuidos desde esta botnet, escritos en mal inglés, se camuflan como una notificación de factura emitida y firmada por un “director de finanzas” con un nombre elegido al azar. El análisis del adjunto en formato ZIP que llevó a cabo Proofpoint mostró que contenía un código JavaScript cuya ejecución resulta en la carga de Locky.

Los investigadores también observaron que el nuevo cargador de este malware cuenta con un método de protección contra el análisis. Ahora es capaz de saber cuándo se lo ejecuta en una máquina virtual y utiliza un interesante mecanismo de ejecución intermodular de la carga útil, que Epstein denomina “zapateo en la memoria”. Después de hacer todas las comprobaciones, el cargador desempaca el código binario de Locky mediante RtlDecompressBuffer y reescribe la imagen del cargador original. Esto le permite cambiar la ubicación del código de los comandos de Locky para dificultar el análisis manual de los volcados de memoria.

Según Epstein, Proofpoint está empezando a registrar signos de reactivación de Locky, provenientes de la botnet resucitada. El experto estima que Necurs ahora genera de 80 a 100 millones de mensajes al día.

Fuentes

Threatpost

Necurs botnet está de vuelta con un Locky actualizado

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada