Специалисты Cisco Talos отметили повышение активности ботнета Necurs в двадцатых числах марта и новый тип спама, распространяемого ботнетом в больших объемах.

Necurs признан самым масштабным ботнетом в мире. В прошлом году он в основном использовался для распространения Locky и Dridex, но в начале 2017 года эксперты заметили снижение его активности; ботнет совершенно исчез с горизонта и забрал с собой добрую часть спама с Locky. Однако ботнет оживился в конце марта и начал распространять огромные объемы спама в рамках мошеннических кампаний pump-and-dump. Скорее всего, так владельцы ботнета пытаются выжать из него максимальную экономическую выгоду.

Мошенническая схема pump-and-dump («накачка и сброс») основана на искусственном вздувании цен на мелкие акции, продаваемые на свободном рынке. Аферисты скупают или берут на реализацию эти ценные бумаги, играют на повышение с помощью рекламных спам-рассылок и имитации торгов, а затем, до неизбежного дефолта, сбрасывают подорожавшие акции, кладя разницу себе в карман.

В таких махинациях нередко участвуют наемники: ботоводы и спамеры, хакеры, взламывающие брокерские аккаунты для имитации купли-продажи ценных бумаг, и специалисты по фондовому рынку. Последние помогают мошенникам регистрировать подставные компании, добывать «свидетельства» надежности акций и обходить биржевые ограничения.

20 марта 2017 года в Cisco Talos стали наблюдать за новой волной спама; сообщения не содержали поддельных счетов или подтверждений доставки товара, как это обычно бывало при распространении вредоносного спама с Locky и Dridex. Письма не содержали вредоносных ссылок или вложений и представляли собой сводку биржевых новостей, в которой утверждалось, что акции под тикером $INCT, принадлежащие компании InCapta Inc., будут расти в цене.

Письма сообщали о том, что акции компании InCapta Inc. ($INCT) будут приобретены по щедрой цене $1,37 за акцию известным производителем дронов DJI, о чем якобы говорили инсайдеры. В сообщении говорилось о том, что продукция InCapta «перевернула отрасль беспилотных летательных аппаратов». «Инсайдеры» рекомендовали покупать акции до предполагаемой новости о поглощении, назначенном на 28 марта, до того как цена вырастет до 20 центов за акцию, так как DJI готова заплатить за акции «многообещающего» разработчика более чем на 1000% больше их текущей стоимости.

Подобный спам разлетелся в огромном количестве: только за 20 марта были разосланы десятки тысяч сообщений, большая часть из них — всего за несколько часов. Телеметрические данные показали, что Necurs вышел из спячки.

Компания InCapta Inc. оказалась разработчиком приложений, и количество выкупаемых акций на время спам-кампании перевалило за миллион в течение нескольких часов, а к концу дня составило более 4,5 млн — в несколько раз больше, чем обычно.

После окончания этой кампании в Cisco Talos заметили второй всплеск активности и приход более масштабной волны спама. Сообщения второй волны несколько отличались от первоначальных: в них использовалась другая тема письма и имелись некоторые отличия в теле письма. Любопытно, но цена акций InCapta снова выросла.

Necurs не впервые участвует в рассылке спам-сообщений по схеме pump-and-dump. Последняя кампания была зафиксирована незадолго до ареста владельцев ботнета, после чего Necurs ушел в тень. Однако ассоциированная с этим ботнетом деятельность прекрасно иллюстрирует, как под влиянием обстоятельств меняются методологии и тактики с целью монетизации имеющихся ресурсов.

Категории: Мошенничество, Спам