Necurs Botnet e Locky Ransomware, la simbiosi perfetta

L’incremento d’infezioni da parte di Locky Ransomware avvenute in Italia nel solo mese di Novembre dello scorso anno è stato pari al 33,49%. Una massiccia campagna di spam aveva colpito gli utenti italiani, decine di migliaia di email infette erano state recapitate utilizzando la botnet Necurs.

Gli analisti del settore hanno quindi potuto osservare come vi sia una stretta correlazione fra la botnet e il malware. Non appena la botnet va offline anche le infezioni causate da Locky calano drasticamente.

In questi giorni sono state registrate due nuove campagne di spam, ma con un volume iniziale sicuramente meno importante di quello registrato negli ultimi mesi dello scorso anno, ed è proprio questo che ci deve mettere in allarme. Così come è avvenuto in passato per infezioni di questo tipo dopo una prima fase lenta d’infezioni, ne consegue una molto più imponente.

La prima è causata da una email senza alcun oggetto né testo, una email vuota con un allegato. L’allegato è un archivio il cui nome è formato da una serie di 8 numeri (71344395.zip), una volta scompattato avremo un file con doppia estensione dove la seconda estensione verrà nascosta al sistema (71344395.doc.zip); l’utente crederà d’aver a che fare con un documento di Office. Una volta eseguito il falso documento Word verrà estratto dall’archivio un secondo file sempre con doppia estensione, con la seconda sempre nascosta al sistema (71344395.doc.jse). Anche in questo caso, se il computer non è impostato per visualizzare le estensioni nascoste dei file, l’utente crederà d’aver a che fare con un documento di Office mentre in realtà andrà ad eseguire uno JavaScript. Non è un file, quest’ultimo, molto ben offuscato infatti il rilevamento degli URLs a cui si collegherà ad internet non risulterà complicato. Sarà proprio questo JavaScript che scaricherà, collegandosi ad internet, Locky Ransomware e una variante del trojan Kovter. Quest’ultimo verrà utilizzato dai cyber-criminali per le campagne click-fraud; Kovter rimarrà inoperoso sul computer della vittima fino a quando quest’ultima non avrà pagato il riscatto.

Nella seconda campagna di spam vengono utilizzate email dove sono presenti sia l’oggetto che il testo che fanno riferimento ad una falsa transazione bancaria non andata a buon fine. Il file dell’allegato questa volta ha, stranamente, l’estensione .rar (doc_details.rar) all’interno del quale è presente il file doc_details.js

Un aspetto interessante di questa campagna di spam è “il modello” dell’User Agent (Python) utilizzato, diverso da quello usato più comunemente.

Nell’immagine qui sotto i dettagli.

TalosIntel_image_UA_Python

Quello che ora tutti gli analisti del settore si aspettano è la ripresa a pieno ritmo della Necurs botnet con l’inevitabile invio massiccio di email di spam anche in Italia.

Add a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *