新闻快讯
< >

恶意软件Necurs新增截屏+报告错误功能

E安全10月20日讯 恶意软件家族日新月异,尤其有些恶意软件的更新相当引人关注。Necurs一直未停止发展更新的步伐。赛门铁克公司公司表示,Necurs刚刚经历了“令人关注”的更新。

Necurs恶意软件新增截屏+报告错误功能-E安全

Necurs

Necurs不止是一款恶意软件的名称,同时也是这款恶意软件通过被感染电脑构建的僵尸网络。

在安全研究行业者看来,Necurs恶意软件是一款“下载器”或“加载器”,仅包含三大主要功能:

  • 在被感染电脑上获得Boot持久性。

  • 收集被感染主机的遥测数据。

  • 下载并安装第二阶段的Payload。

Necurs恶意软件通过Necurs肉鸡或被黑网络服务器发送的垃圾邮件进行传播。

Locky勒索软件的主要传播途径为Necurs僵尸网络,其实际操作是:Necurs僵尸网络传播Necurs下载器,下载器随后安装Locky勒索软件。

Necurs下载器新增两大功能

Necurs下载器通常被人忽略,因为它属于小工具,显得无关紧要。然而,赛门铁克的研究人员最近发现Necurs新增两大主要功能。

  • 第一,新增Powershell脚本,可对被感染设备进行截屏,并将截图上传至远程服务器。

  • 第二项功能是内置错误报告功能,负责监控Necurs下载器的错误,记录问题,并将信息返回给Necurs操作人员。

其它恶意软件家族也包含此类功能,但研究人员从未在下载器中见过这些功能。

威胁攻击者正搜寻有价值的主机

赛门铁克表示,新增截图功能可能说明Necurs操作人员正在搜寻感染设备的更多线索,此外,操作员还会在感染设备后收集遥测数据——当攻击者感染更具价值的环境时(例如运行专业办公软件的环境),这些信息会大有裨益。

Necurs恶意软件新增截屏+报告错误功能-E安全

开发者新增错误报告功能意在收集数据改进应用,毕竟不能指望受害者报告错误和问题。

赛门铁克还提供了Necurs近几年的垃圾邮件图。据报道,Necurs僵尸网络目前正忙着传播Locky勒索软件和TrickBot银行木马。

相关阅读:

Necurs僵尸网络重操旧业发送垃圾邮件 影响股票市场

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。