新闻快讯
< >

垃圾邮件僵尸网络之王Necurs再添新功能

E安全4月28日讯 趋势科技(Trend Micro)近日发现,世界上最大的垃圾邮件僵尸网络 Necurs 新变种现身,通过网络快捷方式(.url)文件躲避检测。

此前为了躲避附件被检测,Necurs 曾使用包含 .ZIP 文件的存档文件掩饰脚本下载程序,之后将该下载程序封装在另一个 .ZIP 文件中隐藏自己。

Necurs 新变种

与以往 Necurs 变种不同的是,新变种使用网络快捷方式文件将恶意垃圾邮件发送至下载程序脚本。

然后,这个脚本通过服务器消息块(SMB)协议远程执行,以此躲避垃圾邮件过滤器的检测。

该脚本会生成二级下载程序 Quant Loader(这是一个普通的恶意软件家族),其目的是为了获得 boot 持久性,最后由这款下载程序下载最终更强大的 Payload。而僵尸网络的运营者很少使用这种简单的垃圾邮件技术,并且一直依靠复杂的感染链。

垃圾邮件僵尸网络之王Necurs再添新功能:躲避检测-E安全

Necurs先前的感染链

趋势科技的研究人员指出,使用 Quant Loader 可能会达到事半功倍的效果。首先,这款下载程序在下载最终 Payload 之前会添加另一个下载阶段,这样做可以混淆并躲避行为检测。Quant Loader 具有持久性,本身会释放一个副本,并创建自动运行注册表,以便在启动时执行。

趋势科技在报告表示,这起活动背后的攻击者也在运用修改网络快捷方式可点击图标的能力,从而诱骗受害者,让他们误以为自己接收的是普通文件夹。在一个垃圾邮件样本中,攻击者将一个 URL 文件伪装成语音邮件的 ZIP 文件。

如果用户接收的电子邮件附件中,包含下列所示这种快捷方式文件,这种文件100%是恶意的,千万不要点开。

垃圾邮件僵尸网络之王Necurs再添新功能:躲避检测-E安全

关于Necurs的简要时间线

Necurs 被称为“恶意木马传播的基础设施”,曾有多个恶意家族木马的传播被证明或怀疑与 Necurs 木马构建的僵尸网络有关,包括臭名昭著的勒索病毒 Locky、Jaff,以银行凭证为主要目标的木马 Dridex 等。Necurs 不仅仅是一个垃圾邮件工具,它还具备 rootkit 能力和对抗杀软的能力,一旦感染了用户的机器就很难被清除掉。此外,Necurs实现了模块化的设计,可以根据不同的任务而加载不同的恶意模块,使得受害者的电脑被任意地操纵。

Necurs 是2012年左右出现的僵尸网络恶意软件,自出现以来从未停止优化更新的脚步,数以百万计的被感染计算机受其控制,每天有约一百万设备活跃。Necurs 多年来一直从事发送垃圾邮件的网络犯罪活动。

2017年

2017年,Necurs 僵尸网络新增了 C&C 服务器通信能力,可用来发动 DDoS 攻击。该模块通过受感染的主机传播恶意流量,主要通过HTTP、SOCKSv4、SOCKSv5协议实现。

迈克菲2018年3月发布报告称,在 2017 年的第四季度,僵尸网络 Necurs 和 Gamut所发送的垃圾邮件占所有垃圾邮件的97%。在这段时间里,Necurs 利用成人网站为诱饵为其传送和转储方案,提供勒索软件的 POC。垃圾邮件的活动率明显比前两个月略微降低,但僵尸网络依旧占所有垃圾邮件的 37%,Necurs占比 60%,其中大部分电子邮件的域名都与以工作机会为主题的网络钓鱼和金钱欺诈有关。

2018年

2018年1月,电子邮件和网络安全公司 AppRiver 发布的博文称,AppRiver 的 SecureTide 过滤器每天都会阻止多达 4700万封来自Necurs僵尸网络发送给AppRiver 客户的垃圾电子邮件,这些垃圾电子邮件被用于分发勒索软件Locky和GlobeImposter。

通常 Necurs 僵尸网路发出的这种垃圾邮件被称为抽运和转储,依赖于发送大量的垃圾邮件来促进用户对特定的低价股票的兴趣,垃圾邮件发送者预先以低价购买股票,当垃圾邮件活动抬高价格时,则以较高的价格出售股票。

2018年1月,Necurs 僵尸网络发出数百万封垃圾邮件,第一次通过大型垃圾邮件活动宣传一种鲜为人知的加密货币 Swisscoin 加密货币 ,而不是像往常一样推送低价股票,最终导致 Swisscoin 损失了最初交易价格的40% 。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。