Печально известный ботнет Necurs вновь активен после внезапного месячного перерыва. Proofpoint наблюдает массовые рассылки, нацеленные на распространение криптоблокера Locky (в улучшенной версии) и банковского троянца Dridex.

По данным экспертов, новая многомиллионная спам-кампания была запущена неделю назад. Это первое проявление активности Necurs, зафиксированное Proofpoint с 31 мая. «Анализ IP отправителя, ассоциированных с данной рассылкой, показал, что спам-пушка Necurs опять заработала, — пишут исследователи в блоге. — К сожалению, можно ожидать, что email-кампании по распространению Dridex и Locky вновь станут серьезной угрозой».

Necurs многие считают одним из самых крупных ботнетов (он насчитывает 6,1 млн ботов), ответственным за многомиллионные потери вследствие заражения вымогательским ПО и троянцем Dridex. Криптоблокер Locky известен прежде всего громкой атакой на Пресвитерианский медицинский центр Голливуда, в результате которой вымогатели получили $17 тыс., а Dridex — кражей десятков миллионов долларов у британских и американских жертв заражения.

По оценке Proofpoint, до недавнего времени трио Necurs, Dridex и Locky обеспечивало злоумышленникам стабильный доход в размере $100–200 тыс. в сутки. Однако 1 июня Necurs исчез с радаров, и популяции Locky и Dridex начали сокращаться. «Почему остановился Necurs, мы не знаем, но можно предположить, что это связано со сбоем C&C-функции ботнета», — заявил вице-президент Proofpoint Кевин Эпштейн (Kevin Epstein), курирующий работу центра реагирования на интернет-угрозы.

Возобновление активности Necurs отметили также исследователи из AppRiver, MalwareTech и Deloitte. По свидетельству последней, новые вредоносные письма, распространяемые с этого ботнета, написаны на плохом английском языке, имитируют уведомление о выставленном счете и подписаны «директором по финансам» с произвольным именем. Проведенный в Proofpoint анализ zip-вложений показал, что они содержат JavaScript-код, исполнение которого приводит к загрузке Locky.

Исследователи также отметили, что новый загрузчик этого зловреда снабжен защитой против анализа. Он теперь способен отслеживать запуск на виртуальной машине, в песочнице и использует интересный механизм кросс-модульного исполнения полезной нагрузки, который Эпштейн назвал «чечеткой в памяти». После выполнения всех проверок загрузчиком происходят распаковка бинарного кода Locky с помощью RtlDecompressBuffer и перезапись оригинального образа загрузчика. Это позволяет сменить местоположение кода команд Locky с тем, чтобы затруднить анализ дампов памяти вручную.

По словам Эпштейна, Proofpoint уже фиксирует активизацию распространения Locky с ожившего ботнета. По оценке эксперта, Necurs ныне генерирует 80–100 млн таких писем в сутки.

Категории: Аналитика, Вредоносные программы, Спам