Necurs botnet malware surge de nuevo con un nuevo conjunto de futuros para crear una puerta trasera en la máquina de las víctimas para robar datos confidenciales y realizar diversas actividades maliciosas.
Necurs botnet ataca activamente desde 2017 en diversas formas y causa algunos de extremadamente en varios países.
Necurs botnet es una de las amenazas más grandes de Malspam que se distribuye por los ciberdelincuentes para ofrecer diversas amenazas de gran potencial basadas en malware peligroso y ransomware.
Distribuye la distribución actual utilizando la funcionalidad avanzada para evadir el motor de detección de malware utilizando archivos de acceso directo a Internet.
Solo en este año, Necurs envía más de 230 millones de mensajes de spam de citas que se iniciaron a mediados de enero de 2018 y finalizaron el 3 de febrero.
Necurs Botnet se utilizó principalmente para difundir un Locky Ransomware que es uno de los ransomware peligrosos en la historia que infectó a millones de personas en todo el mundo.
Actualmente, se distribuye en el tipo de archivo IQY como un vector de infección inicial que se utiliza básicamente para permitir a los usuarios importar datos de fuentes externas a la hoja de cálculo de Excel del usuario.
"De manera predeterminada, Windows reconoce los archivos IQY como archivos de consulta web de MS Excel y los ejecuta automáticamente en Excel".
Proceso de infección Necurs Botnet
Inicialmente, Necurs se propaga por correo electrónico no deseado junto con contenido de correo electrónico que hace referencia a promociones de ventas, ofertas y descuentos junto con archivos adjuntos IQY.
Una vez que un usuario hace clic en él y lo ejecuta, extrae la dirección URL URL dirigida en una hoja de cálculo de Excel.
Los datos extraídos contienen una secuencia de comandos que puede abusar de la función de intercambio dinámico de datos (DDE) de Excel, lo que le permite ejecutar una línea de comandos que inicia un proceso de PowerShell que permite ejecutar la secuencia de comandos remota de powershell en la ejecución sin archivos.
Según Trend Micro Report, el script de PowerShell permite la descarga de un archivo ejecutable, una aplicación de acceso remoto troyanizada y su carga final: la puerta trasera FlawedAMMYY (detectada como BKDR_FlawedAMMYY.A). Esta puerta trasera parece haber sido desarrollada a partir del código fuente filtrado del software de administración remota llamado Ammyy Admin.
FlawedAMMYY Backdoor ejecuta el comando desde un servidor malicioso remoto para realizar diversas actividades de robo malicioso, como Administrador de archivos, Pantalla de visualización, Control remoto, Audio Chat, etc.
Agregar esta nueva capa de evasión a Necurs plantea nuevos desafíos porque las consultas web generalmente vienen en forma de archivos de texto sin formato, lo que hace que la URL del archivo IQY adjunto sea la única indicación de actividad de malware. segun Trend Micro.
Fecha actualización el 2021-06-26. Fecha publicación el 2018-06-26. Categoría: botnet. Autor: Oscar olg Mapa del sitio Fuente: gbhackers