Ботнет Necurs провел короткую спам-кампанию, нацеленную на засев RAT-трояна в корпоративные сети финансовых учреждений. По словам исследователей из Cofence, наблюдавших за атакой, вредоносные письма получили сотрудники нескольких тысяч банков по всему миру. Злоумышленники пытались проникнуть на компьютеры жертв при помощи сообщений, замаскированных под деловую переписку.

Необычная активность ботнета началась утром 15 августа. В отличие от стандартных спам-рассылок Necurs, новая кампания доставляла получателям документы, созданные в программе Microsoft Publisher и небольшое количество PDF-вложений. Файлы формата PUB могут содержать макросы, выполняемые при открытии, однако защитные решения не блокируют их автоматически, как это происходит с документами Word или Excel.

Как отмечают ИБ-аналитики, получателями рассылки стали банковские сотрудники. Спамеры не использовали для этой кампании ресурсы бесплатных почтовых сервисов, что свидетельствует о нацеленности атаки исключительно на финансовый сектор. Письма были замаскированы под типичные для деловой переписки документы, например платежные извещения.

При открытии файла вредоносный макрос подключался к серверу злоумышленников и загружал на скомпрометированное устройство RAT-троян FlawedAmmyy. Многофункциональный зловред представляет собой переработанную версию легитимной утилиты Ammyy Admin, предназначенной для удаленного администрирования. Программа позволяет полностью контролировать зараженную систему и красть данные.

По истечении восьми часов активности рассылка неожиданно прекратилась. Исследователи затрудняются сказать, кто является заказчиком этой атаки и почему она была столь скоротечна. Ранее Necurs выполнял более масштабные задания и специализировался на распространении вредоносов Dridex и Locky.

Возможно, ботнет в очередной раз меняет «основную» полезную нагрузку —FlawedAmmyy уже был замечен в трех кампаниях Necurs, состоявшихся в мае и июне этого года. Тогда в качестве вложения использовались файлы IQY, загружавшие в документы Excel команду на скачивание трояна с удаленного сервера. Антивирусы плохо справлялись с выявлением вредоносного содержимого в письме, поскольку такие объекты выполняются только в среде электронной таблицы.

Категории: Спам