Le famiglie di malware evolvono ormai su basi quotidiane, ma alcuni update catturano l'attenzione più di altri. Necurs ha appena subito uno di questi aggiornamenti "interessanti". Una precisazione: col nome Necurs si indicano sia una variante di malware che la botnet di computer infetti che il malware ha generato.
Il malware Necurs è un downloader ed ha solo 3 funzioni principali:
- ottenere la persistenza in avvio sul PC infetto;
- raccogliere la telemetria sugli host infetti;
- scaricare e installare, in un secondo momento, payload.
Viene distribuito tramite mail di spam inviate dalla botnet Necurs stessa oppure da web server hackerati. E' il malware Necurs che poi, in un secondo momento, distribuisce altri malware (Locky, Cerber ecc..)
Il downloader Necurs ha due nuove funzioni
Il downloader Necurs ha due nuove funzioni
Il downloader di Necurs non ha mai, realmente, prodotto gravi danni. Ora però si diffonde in maniera potenziata, con due nuove, interessanti, funzioni. La prima aggiunta è uno script Powershell che fa screenshot dello schermo dell'utente infetto e, dopo pochi secondi, carica l'immagine sul server remoto. La seconda aggiunta è una funzione incorporata di "error reporting" che analizza il downloader Necurs per errori, registra i problemi e invia agli operatori di Necurs le info raccolte.
In realtà alcune famiglie di malware hanno già presentato queste funzioni: è però la prima volta che le vediamo in un downloader. Lo scopo dello screenshot potrebbe essere, assieme alla telemetria, quello di riuscire a individuare più in dettaglio che tipo di macchina è stata infettata: dai software e dai file può essere possibile capire se sia stato infettato un home user, oppure il PC di un ufficio (il che significa che si è dentro una rete aziendale).
La funzione invece di report degli errori è presto spiegata: è un sistema per raccogliere tutte le informazioni sui malfunzionamenti di Necurs e consentire così agli sviluppatori di migliorare la loro applicazione.
Grazie al vendor Symatec abbiamo a disposizione un grafico che indica le ondate di spam tramite Necurs di quest'anno: si conferma l'incremento dell'attività negli ultimi mesi. Attualmente la botnet Necurs sta diffondendo il ransomware Locky e il trojan bancario Trickbot (ne abbiamo parlato qui) .
Nessun commento:
Posta un commento