El Botnet Necurs está comprometido en un esquema de spam que intenta impulsar el precio de mercado de las acciones de una empresa artificialmente.
Este esquema de correo no deseado en particular tiene un nombre especial en la industria infosec lo llama "la bomba y volcado." La idea detrás de los esquemas de la bomba y de volcado es enviar cantidades masivas de correo basura que tratan de convencer a los usuarios en la compra de acciones de una empresa en particular.
A medida que los usuarios acuden para adquirir acciones de la compañía, el precio sube. Cuando Necurs spam ha alcanzado un valor teórico de la acción, los operadores Necurs, o las personas que alquilan la red de bots, venden sus existencias de acciones al precio más alto y obtienen un beneficio.
Este esquema de correo no deseado ha existido desde los años 90, y se ha dirigido principalmente a los llamados "penny stocks", los valores para las pequeñas empresas que venden menos de 5 dolares / acción, cuyos precios puede ser influenciado por unos pocos cientos de nuevos compradores / vendedores en un día .
Con una población bot mensual de 5 a 6 millones robots únicos, Necurs es la red de bots de spam perfecta para estas operaciones, ya que puede arrojar decenas de miles de mensajes por hora sin romperse.
Esta última campaña de correo no deseado de la bomba y volcado dirige las acciones de InCapta Inc (INCT), una compañía de medios de sujeción.
La campaña de spam para InCapta social comenzó en la mañana del lunes 20 de marzo, y dio lugar a un pico de precio de la acción inmediata.
Cinco observadores diferentes tomaron nota de la nueva campaña de spam Necurs, tales como Cisco Talos, MalwareTech, MX Lab, Mi seguridad en línea, y Dynamoo.
De acuerdo con MalwareTech, Necurs envió cuatro oleadas de spam diferentes el lunes (2 de spam se ejecuta) y martes (2 de spam se ejecuta), manteniendo las acciones de InCapta en un nivel elevado.
Según Cisco Talos, las campañas de spam enviados alrededor de decenas de miles de mensajes por hora, con la segunda oleada era más grande que la primera.
El mensaje de correo basura no tenía ningún sentido, tratando de engañar a los usuarios para que compren InCapta social debido a una inminente adquisición por DJI, el líder mundial en la fabricación de aviones no tripulados.
El mensaje de spam declaró incorrectamente que InCapta había fabricado su propio avión no tripulado. Con un poco de la investigación (Google), los usuarios han descubierto que InCapta es una compañía de medios de comunicación, y se habría evitado perder su dinero. A continuación se presentan los dos primeros mensajes de spam enviados durante las dos primeras olas.
Antes de la ejecución de spam del 20 de marzo, la red de bots Necurs ha sido extremadamente silencioso. Durante 2016, Necurs se había centrado en la entrega de correo electrónico de spam con adjuntos maliciosos que instaló el ransomware Locky o el troyano bancario Dridex.
La red de bots había quedado en silencio antes de las vacaciones de invierno, como lo hace todos los años, pero nunca volvió a sus niveles de actividad anteriores, detener la distribución de Locky por completo. Campaña de la bomba y de volcado del 20 de marzo fue la mayor campaña 'Necurs este año hasta ahora, cuya infraestructura fue inactivo durante la mayor parte de 2017.
Según el equipo de Talos de Cisco, los operadores Necurs parecen estar utilizando una infraestructura diferente para difundir Locky y otra para la bomba y volcar el spam.
Como Necurs regresó de su sueño de vacaciones de invierno, los investigadores Talos dicen que sólo la infraestructura de la bomba y volcado volvió a la vida, mientras que el responsable de Locky permanece latente.
"Por otra parte, estos dos tipos de campaña comparten receptores comunes, haciendo alusión a que los operadores Necurs pueden utilizar una base de datos compartida de direcciones de correo electrónico, incluso cuando los clientes solicitan diferentes servicios", explicó el equipo de Cisco Talos.
No obstante, como ransomware tiene una base de ataque más amplio, en comparación con la pequeña base de usuarios susceptibles a la bomba y volcar regímenes, la mayoría de los expertos de la industria esperan Necurs para volver a difundir Locky u otra familia ransomware, ya que es mucho más rentable que la difusión de cualquier otro tipo de correo no deseado.
Fecha actualización el 2017-3-22. Fecha publicación el 2017-3-22. Categoría: Malware. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer
