Botnetz Necurs erwacht aus Winterschlaf: jetzt mit neuem Fokus

Die Experten von Cisco Talos registrieren seit dem 20. März eine gesteigerte Aktivität des Botnetzes Necurs sowie einen neuen Spam-Typ, der von diesem Botnet in großer Menge verbreitet wird.

Necurs gilt als das größte Botnet weltweit. Im vergangenen Jahr wurde es in erster Linie zur Verbreitung von Locky und Dridex eingesetzt, doch zu Beginn des Jahres 2017 bemerkten Experten einen Rückgang der Aktivität – das Botnet war vollständig von der Bildfläche verschwunden und nahm einen wesentlichen Teil des Spams mit angehängtem Locky mit sich in die Versenkung. Doch Ende März tauchte das Zombienetz wieder auf und begann im Rahmen betrügerischer Pump-and-Dump-Kampagnen riesige Spam Mengen in Umlauf zu bringen. Vermutlich versuchen die Botnetz-Betreiber auf diese Weise, den maximalen wirtschaftlichen Nutzen aus dem Netzwerk zu ziehen.

Das Betrugsschema mit der Bezeichnung Pump-and-Dump basiert auf dem künstlichen Aufblähen der Preise für auf dem freien Markt gehandelte Wertpapiere. Die Betrüger kaufen diese Aktien oder erwerben Anteile, treiben den Preis mit Hilfe von Werbe-Spam und gefaktem Handel in die Höhe, um die überteuerten Papiere vor dem unausweichlichen Einbruch abzustoßen und sich die Differenz in die Tasche zu stecken.

An solchen Machenschaften sind häufig Söldner beteiligt: Botmaster und Spammer, Hacker, die Broker-Accounts knacken, um den An- und Verkauf von Wertpapieren vorzuspielen, sowie Spezialisten für den Fondsmarkt. Letztere helfen den Betrügern dabei, Briefkastenfirmen zu gründen, einen „Nachweis“ über die Zuverlässigkeit der Aktien aufzutreiben und die Börsenbeschränkungen zu umgehen.

Am 20. März 2017 beobachteten die Spezialisten bei Cisco Talos eine neue Spam-Welle. Die Mitteilungen enthielten keine gefälschten Rechnungen oder Zustellungsbestätigungen von Waren, so wie es bei der Verbreitung des Schadspams mit Locky und Dridex üblich war. Die Mails enthielten keine schädlichen Links oder Anhänge, es handelte sich vielmehr um Börsennachrichten, in denen bestätigt wurde, dass der Preis der Aktien mit der Bezeichnung $INCT des Unternehmens InCapta Inc. steigen wird.

In der Mail wurde darüber berichtet, dass die Aktien des Unternehmens InCapta Inc. ($INCT) laut Angaben von Insidern zu dem großzügigen Preis von 1,37 Dollar pro Aktien von dem Drohnenhersteller DJI erworben werden würden. In der Nachricht hieß es weiter, dass die Produkte von InCapta „die Branche der unbemannten Flugfahrzeuge revolutioniert“ hätten. Die „Insider“ empfahlen noch vor der zu erwartenden Neuigkeit über die Firmenübernahme Anteile zu erwerben, die auf den 28. März terminiert sei, noch bevor der Preis pro Aktie auf 20 Cent steigt, da DJI bereit sei, für die Aktien des „vielversprechenden“ Entwicklers über 1000% mehr als den aktuellen Preis zu zahlen.

Dieser Spam wurde in großer Menge verbreitet: Allein am 20. März wurden zehntausende Mails versendet, ein großer Teil davon innerhalb weniger Stunden. Telemetrische Daten haben ergeben, dass Necurs aus dem Winterschlaf erwacht ist.

Das Unternehmen InCapta Inc. erwies sich als App-Entwickler und die Zahl der aufgekauften Aktien während der Spam-Kampagne überstieg schon nach wenigen Stunden die Million und betrug zum Ende des Tages mehr als 4,5 Millionen – um einige Male mehr als gewöhnlich.

Nach Beendigung dieser Kampagne wurde bei Cisco Talos ein zweiter Aktivitätsanstieg registriert und das Heranrollen einer noch größeren Spam-Welle. Die Nachrichten der zweiten Welle unterschieden sich ein wenig von den ursprünglichen Mitteilungen: Nun stand ein anderes Thema im Mittelpunkt und es gab auch einige Veränderungen im Mailkörper. Interessant ist, dass der Preis der Aktien von InCapta erneut anstieg.

Necurs ist nicht zum ersten Mal in den Versand von Pump-and-Dump-Spam involviert. Die letzte Kampagne wurde kurz vor den Festnahmen der Botnetzbetreiber registriert, woraufhin Necurs in der Versenkung verschwand. Die mit diesem Botnetz assoziierte Aktivität illustriert sehr deutlich, wie sich die Methoden und Taktiken zur Monetarisierung der zur Verfügung stehenden Ressourcen umständehalber ändern können.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.