Крупнейший в мире ботнет нашел новый способ обходить обнаружение

image

Теги: ботнет, вредоносное ПО, Necurs

Necurs рассылает на атакуемые компьютеры электронные письма с файлами .URL.

Как сообщают специалисты компании Trend Micro, крупнейший в мире спам-ботнет Necurs с миллионами зараженных компьютеров пополнил свой арсенал новой техникой заражения. Техника заключается в следующем. Жертве отправляется электронное письмо со вложенным архивным файлом, который при распаковке имеет расширение .URL. Он представляет собой типичный Windows-файл, открывающий web-страницу сразу в браузере, а не на диске. Ссылка ведет на удаленный скрипт, загружающий и автоматически выполняющий окончательную полезную нагрузку.

В новой кампании Necurs инфицирует компьютеры жертв весьма непримечательным вредоносным ПО Quant Loader, способным сохранять свое присутствие на системе после перезагрузки и загружать другое, более мощное ПО. Сама по себе вышеописанная техника распространения вредоносного ПО не является новой (киберпреступники и раньше использовали файлы .URL), однако Necurs стал применять ее впервые. Она существенно упрощает процесс инфицирования, ведь теперь достаточно лишь, чтобы жертва получила и открыла файл .URL.

В течение шести лет своего существования Necurs всегда использовал сложные техники, и столь простая появилась в его арсенале только сейчас. К примеру, для инфицирования компьютеров жертв ботнет рассылал электронные письма с одноразовыми и двойными архивами с файлами WSF и JS, скриптами Visual Basic и всевозможными файлами Office с вредоносными макросами или эксплоитами для уязвимостей.

Necurs обзавелся новой техникой заражения с целью обхода обнаружения антивирусными решениями, сканирующими электронные письма на предмет наличия в них вредоносных ссылок или вложений. Правда, таким образом обходить антивирусные продукты ботнет сможет недолго. Пока что способ работает, так как это позволяют действующие политики, установленные исследователями безопасности на основании прошлых тенденций. Когда исследователи обновят политики, Necurs больше не сможет обходить антивирусные решения с помощью этой техники.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.