垃圾郵件殭屍網路之王Necurs再添新功能

E安全4月28日訊 趨勢科技（Trend Micro）近日發現，世界上最大的垃圾郵件殭屍網路 Necurs 新變種現身，通過網路快捷方式（.url）文件躲避檢測。

此前為了躲避附件被檢測，Necurs 曾使用包含 .ZIP 文件的存檔文件掩飾腳本下載程序，之後將該下載程序封裝在另一個 .ZIP 文件中隱藏自己。

Necurs 新變種

與以往 Necurs 變種不同的是，新變種使用網路快捷方式文件將惡意垃圾郵件發送至下載程序腳本。

然後，這個腳本通過伺服器消息塊（SMB）協議遠程執行，以此躲避垃圾郵件過濾器的檢測。

該腳本會生成二級下載程序Quant Loader（這是一個普通的惡意軟體家族），其目的是為了獲得 boot 持久性，最後由這款下載程序下載最終更強大的 Payload。而殭屍網路的運營者很少使用這種簡單的垃圾郵件技術，並且一直依靠複雜的感染鏈。

Necurs先前的感染鏈

趨勢科技的研究人員指出，使用 Quant Loader 可能會達到事半功倍的效果。首先，這款下載程序在下載最終 Payload 之前會添加另一個下載階段，這樣做可以混淆並躲避行為檢測。Quant Loader 具有持久性，本身會釋放一個副本，並創建自動運行註冊表，以便在啟動時執行。

趨勢科技在報告表示，這起活動背後的攻擊者也在運用修改網路快捷方式可點擊圖標的能力，從而誘騙受害者，讓他們誤以為自己接收的是普通文件夾。在一個垃圾郵件樣本中，攻擊者將一個 URL 文件偽裝成語音郵件的 ZIP 文件。

如果用戶接收的電子郵件附件中，包含下列所示這種快捷方式文件，這種文件100%是惡意的，千萬不要點開。

關於Necurs的簡要時間線

Necurs 被稱為「惡意木馬傳播的基礎設施」，曾有多個惡意家族木馬的傳播被證明或懷疑與 Necurs 木馬構建的殭屍網路有關，包括臭名昭著的勒索病毒 Locky、Jaff，以銀行憑證為主要目標的木馬 Dridex 等。Necurs 不僅僅是一個垃圾郵件工具，它還具備 rootkit 能力和對抗殺軟的能力，一旦感染了用戶的機器就很難被清除掉。此外，Necurs實現了模塊化的設計，可以根據不同的任務而載入不同的惡意模塊，使得受害者的電腦被任意地操縱。

Necurs 是2012年左右出現的殭屍網路惡意軟體，自出現以來從未停止優化更新的腳步，數以百萬計的被感染計算機受其控制，每天有約一百萬設備活躍。Necurs 多年來一直從事發送垃圾郵件的網路犯罪活動。

2017年

2017年，Necurs 殭屍網路新增了 C&C 伺服器通信能力，可用來發動 DDoS 攻擊。該模塊通過受感染的主機傳播惡意流量，主要通過HTTP、SOCKSv4、SOCKSv5協議實現。

邁克菲2018年3月發布報告稱，在 2017 年的第四季度，殭屍網路 Necurs 和 Gamut所發送的垃圾郵件占所有垃圾郵件的97％。在這段時間裡，Necurs 利用成人網站為誘餌為其傳送和轉儲方案，提供勒索軟體的 POC。垃圾郵件的活動率明顯比前兩個月略微降低，但殭屍網路依舊占所有垃圾郵件的 37％，Necurs佔比 60％，其中大部分電子郵件的域名都與以工作機會為主題的網路釣魚和金錢欺詐有關。

2018年

2018年1月，電子郵件和網路安全公司 AppRiver 發布的博文稱，AppRiver 的 SecureTide 過濾器每天都會阻止多達 4700萬封來自Necurs殭屍網路發送給AppRiver 客戶的垃圾電子郵件，這些垃圾電子郵件被用於分發勒索軟體Locky和GlobeImposter。

通常 Necurs 殭屍網路發出的這種垃圾郵件被稱為抽運和轉儲，依賴於發送大量的垃圾郵件來促進用戶對特定的低價股票的興趣，垃圾郵件發送者預先以低價購買股票，當垃圾郵件活動抬高價格時，則以較高的價格出售股票。

2018年1月，Necurs 殭屍網路發出數百萬封垃圾郵件，第一次通過大型垃圾郵件活動宣傳一種鮮為人知的加密貨幣 Swisscoin 加密貨幣 ，而不是像往常一樣推送低價股票，最終導致 Swisscoin 損失了最初交易價格的40％ 。

註：本文由E安全編譯報道,轉載請註明原文地址

https://www.easyaq.com/news/1840836305.shtml

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！