Botnet Necurs kehrt zurück – mit aktualisiertem Locky

Das berühmt-berüchtigte Botnetz Necurs ist nach einer plötzlichen, einen Monat lang währenden Pause nun erneut aktiv. Proofpoint beobachtet Massenversendungen, die auf die Verbreitung der Ransomware Locky – in einer verbesserter Version – und des Bank-Trojaners Dridex abzielen.

Nach Angaben der Experten wurde die neue, mehrere Millionen Mails umfassende Spam-Kampagne vor einer Woche gestartet. Das ist die erste Aktivität von Necurs, die Proofpoint seit dem 31. Mai registriert hat. „Eine Analyse der Absender-IP, die mit dieser Versendung in Verbindung gebracht wird, hat gezeigt, dass die Spam-Kanone Necurs erneut ihre Munition verschießt“, schreiben die Forscher im Blog. „Leider ist zu erwarten, dass die E-Mail-Kampagne, die der Verbreitung von Dridex und Locky dient, erneut zu einer ernsthaften Bedrohung wird.“

Viele halten Necurs für eins der größten Botnetze überhaupt (es zählt 6,1 Millionen Bots), das für Verluste in Millionenhöhe infolge von Infektionen mit Ransomware und dem Trojaner Dridex verantwortlich ist. Die Erpressersoftware Locky ist in erster Linie bekannt für einen Aufsehen erregenden Angriff auf das Presbyterianische Gesundheitszentrum in Hollywood, infolgedessen die Erpresser 17.000 Dollar erbeuteten. Und Dridex macht aufgrund des Diebstahls von Dutzenden Millionen Dollar von britischen und amerikanischen Infektionsopfern von sich reden.

Nach Einschätzung von Proofpoint gewährleistete das Trio Necurs, Dridex und Locky den dahinter stehenden Cyberkriminellen noch bis vor kurzem stabile Einnahmen in Höhe von 100 000 – 200 000 Dollar pro Tag. Am ersten Juni verschwand Necurs allerdings von den Radaren und die Populationen von Locky und Dridex begannen zu schrumpfen. „Warum Necurs eine Pause eingelegt hat, wissen wir nicht, doch es ist anzunehmen, dass das mit einem Absturz der C&C-Funktion des Botnetzes zusammenhängt“, erklärte Kevin Epstein, Vice President der Abteilung Threat Operations bei Proofpoint.

Das Wiederaufleben der Necurs-Aktivität wurde auch von den Forschern bei AppRiver, MalwareTech und Deloitte bemerkt. Laut Aussagen der Letztgenannten sind die neuen schädlichen Mails, die über dieses Botnet verbreitet werden, in schlechtem Englisch geschrieben. Sie kommen als Benachrichtigung über eine ausgestellte Rechnung daher und sind unterzeichnet mit „Der Finanzdirektor“ und einem willkürlichen Namen. Eine bei Proofpoint durchgeführte Analyse der zip-Anhänge hat ergeben, dass sie JavaScript-Code enthalten, dessen Ausführung den Download von Locky nach sich zieht.

Die Forscher wiesen zudem darauf hin, dass der neue Downloader dieses Schädlings mit einem Schutz vor Analyse ausgestattet ist. Er ist jetzt in der Lage, den Start auf einer virtuellen Maschine und in der Sandbox zu verfolgen und er verwendet einen interessanten Mechanismus zur modulübergreifenden Ausführung der Payload, den Epstein „Stepptanz im Speicher“ nennt. Nachdem der Downloader alle Überprüfungen beendet hat, wird mit Hilfe von RtlDecompressBuffer der Binärcode von Locky entpackt und das Originalsample des Ladeprogramms überschrieben. Dadurch kann der Standort des Befehlscodes von Locky geändert werden, um die Analyse der Speicherdumps manuell zu erschweren.

Nach Worten von Epstein registriert Proofpoint bereits eine vermehrte Verbreitung von Locky durch das wiederbelebt Botnetz. Nach Einschätzung des Experten generiert Necurs derzeit 80-100 Millionen solcher Mails pro Tag.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.