ransomware
6

To największy spamerski botnet na świecie. Musisz na niego uważać

Necurs, obecnie największy botnet spamowy na świecie, który może się poszczycić milionami infekcji na całym świecie zręcznie unikał wykrycia - znalezienie śladów jego działalności w komputerze było nieco kłopotliwe. Aż do teraz, gdy jego twórcy nieco zmodyfikowali jego działanie korzystając z nowej (starej, ale w jego przypadku nowej) techniki infekowania kolejnych ofiar.

Nowa technika infekowania kolejnych komputerów opiera się na wysyłaniu wiadomości e-mail do potencjalnych ofiar, w których zawarty jest plik archiwum. W środku użytkownik może znaleźć plik z rozszerzeniem .url, którego oczywiście nie warto otwierać. Windows rozpoznaje taki plik jako typowy odnośnik, który zostaje następnie uruchomiony w domyślnej dla danego systemu przeglądarce.

Otwarcie tego linku kończy się infekcją i ostatecznie, wciągnięciem maszyny do botnetu. Strona, na którą wskazuje odnośnik zawiera w sobie zdalny skrypt, którego wykonanie powoduje pobranie oraz automatyczne uruchomienie kodu.

Infekcja w ramach kampanii botnetu Necurs jest naprawdę niebezpieczna

W przypadku tej jak to nazwaliśmy „kampanii”, cyberprzestępcy infekują ofiary tzw. „Quant Loaderem”, dobrze znanym mechanizmem z tej rodziny malware, który ma za zadanie wpisać się do uruchamianych przy starcie programów i realizować dalsze komendy – m. in. pobierać kolejne porcje malware’u. Nie jest to technika nowa – wiele botnetów działa w podobny sposób, aczkolwiek Necurs wcześniej bronił się przed tego typu praktykami, a szczególnie takimi, które mogłyby szybko zdradzić jego obecność.

necurs botnet

Wykorzystywano raczej bardziej skomplikowane łańcuchy infekcji, które co prawda wymagały znacznie więcej pracy, ale gwarantowały znacznie wyższy poziom „bezpieczeństwa” dla kampanii. Między innymi w kampaniach Necursa brały udział podwójnie spakowane archiwa zawierające pliki WSF, VBS oraz wszelkie formaty Office’a zawierające w sobie np. złośliwe makra.

Jak nie dać się złapać?

Cyberprzestępcy robią naprawdę wiele ku temu, aby złapać w pułapkę jak największą ilość ofiar. Co ciekawe, pliki .url działają bardzo podobnie do tych z rozszerzeniem .lnk, które to są skrótami wskazującymi na lokalizacje w systemie. Nieświadomy niczego użytkownik może je uruchomić uznając, że są one bezpieczne. Mało tego, nierzadko twórcy takich zagrożeń modyfikują ikony złośliwych plików, by np. przypominały one folder. W Windows rozszerzenia znanych typów plików są domyślnie ukryte, co nie pozwala bardzo szybko określić, czy mamy do czynienia z prawidłowym elementem. Zwykli użytkownicy raczej nie będą w stanie tego zweryfikować.

Pewną wskazówką dla osób, które nie do końca wiedzą z czym mają do czynienia może być fakt iż odnośniki (.url) oraz skróty (.lnk) w Windows są opatrywane „strzałką” obok ikony. Jeżeli znajdziecie takie pliki w załącznikach, możecie być pewni, że są one w stu procentach złośliwe i raczej nie warto ich otwierać. Chyba, że nie macie nic przeciwko temu, by dołączyć do największego w sieci spamerskiego botnetu. Co kto lubi.