Necurs botnet distribuyó más de 780000 correos electrónicos en cinco campañas a principios de este año, todos con archivos IQY armados, el último método para entregar malware
El volumen es bastante bajo para una botnet responsable del 60% del tráfico mundial de spam en el último trimestre de 2017.
Sin embargo, el uso de archivos IQY armados es una tendencia ascendente en las campañas de malspam, y Necurs fue el primero en detectar el uso de este tipo de archivos el 25 de marzo.
Los archivos IQY son básicamente documentos de texto que pueden contener una ubicación web para importar datos en hojas de cálculo de Excel; son comunes en las redes empresariales, donde los empleados los utilizan para fines de colaboración. No son una amenaza en sí mismos, pero la información recuperada de una fuente externa puede contener código malicioso.
Microsoft Office no permite la ejecución automática de código de un IQY y solicita el permiso del usuario para hacerlo. Pero un correo electrónico bien diseñado puede engañar al usuario para que habilite conexiones de datos en archivos IQY.
Correos electrónicos enviados durante un período de un mes y medio
IBM X-Force captó los 780000 correos electrónicos que los operadores de Necurs enlazaron con archivos IQY armados entre fines de mayo y mediados de julio.
Según lo observado por los investigadores, la fábrica de spam Necurs envió el 25 de mayo más de 300,000 mensajes. La segunda campaña del 7 de junio entregó aproximadamente 200,000 correos electrónicos.
Los números se dispararon en las próximas explosiones de spam, con más de 150,000 correos electrónicos distribuidos el 13 de junio y menos de 100,000 el 13 de julio. El último latido se registró el 17 de julio y fue el más débil, distribuyendo menos de 50000 mensajes.
Algunos de los correos electrónicos supuestamente son facturas sin pagar, un pretexto común que atrae a la víctima a acceder a la URL dentro del archivo IQY.
Cuando se aprobó la conexión, la URL incorporada proporcionó una herramienta de acceso remoto llamada FlawedAmmyy RAT, cuyo código fuente se filtró en marzo.
Otro malware entregado por Necurs incluye Marap y Quant Loader, dos descargadores que pueden canalizarse en varios tipos de amenazas.
Los ciberdelincuentes están constantemente buscando cambiar su juego mediante el uso de tipos de archivos que normalmente se pasan por alto como una amenaza potencial.
"Para garantizar que sus correos electrónicos maliciosos lleguen a los destinatarios y no queden bloqueados por los filtros de correo electrónico, los grupos de delitos cibernéticos mezclan sus tácticas todo el tiempo, entregando archivos atrapados en muchas formas durante todo el año", señalan los investigadores de X-Force.
Fecha actualización el 2021-09-07. Fecha publicación el 2018-09-07. Categoría: botnet Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer