Necurs è una nostra vecchia conoscenza: una botnet di grandi dimensioni, balzata agli onori delle cronache come infrastruttura di invio di massive campagne di email di spam e phishing, per la distribuzione di ransomware e malware di altri tipi.
Quest'anno Necurs si è distinta per aver lanciato ben 780.000 email in pochissimo tempo, suddivise in ben 5 campagne tutte contenenti file IQY dotati di svariate funzionalità di attacco. L'uso di file IQY rappresenta, ormai nei fatti, il nuovo e più recente metodo di diffusione di malware. Va detto che probabilmente, nonostante la quantità impressionante di email compromesse inviate, siamo di fronte ad un test: se 780.000 email sembrano molte, sono in realtà assai poche se teniamo di conto che sono inviate dalla botnet che, nell'ultimo trimestre del 2017, è stata responsabile del 60% del traffico di spam mondiale.
L'uso di file IQY "armati", recanti cioè malware, è un trend in costante crescita ma molto recente: è stata proprio la botnet Necurs a lanciare la prima campagna di spam di questo tipo il 25 Marzo, distribuendo malware via IQY files.
L'uso di file IQY "armati", recanti cioè malware, è un trend in costante crescita ma molto recente: è stata proprio la botnet Necurs a lanciare la prima campagna di spam di questo tipo il 25 Marzo, distribuendo malware via IQY files.
 |
| Una delle email di spam contenente un file IQY corrotto |
Che cosa sono i file IQY?
I file IQY (Internet Query) sono fondamentalmente documenti di testo che possono contenere una location web per importare dati entro un foglio di calcolo per Excel: sono molto usati nelle reti aziendali, spesso usati dagli impiegati a fini di collaborazione. Di per sé sono file legittimi, non pericolosi, ma le informazioni recuperate da fonti esterne possono contenere codice dannoso.
Microsoft Office non consente l'esecuzione automatica del codice da un IQY, ma richiede all'utente l'autorizzazione per farlo. Il problema infatti non è il file in sé, ma le tecniche di igegneria sociale in base alle quali sono costruite le email: se l'utente è indotto, per motivi di urgenza indotti dalla mail stessa o perchè la mail appare realmente affidabile, a ritenere che la mail sia legittima, sarà l'utente stesso ad abilitare le connessioni dati nel file IQY.
Le email sono state inviate in un mese e mezzo
IBM-X Force ha individuato oltre 780.00 email lanciate dall'operatore di Necurs con file IQY "armati", tra Maggio e metà Luglio. Solo la campagna del 25 Marzo ha visto l'invio di oltre 300.000 messaggi. La seconda campagna, avvenuta il 7 Giugno, ha distribuito oltre 200.000 email dannose.
I numeri scendono a spirale nelle campagne di spam successive, con 150.000 email distribuite il 13 Giugno e meno di 100.000 il 13 Luglio. L'ultima ondata, registrata il 17 Luglio, è stata la più debole: meno di 50.000 email. Alcune email si fingevano fatture non pagate, un pretesto sempre valido, che tra l'altro crea una situazione di preoccupazione/ansia finalizzata a rendere l'utente meno lucido.
I malware diffusi
Una volta approvata la connessione, l'URL integrato fornisce l'accesso remoto a un tool chiamato FlawedAmmyy RAT, il cui source code è stato rilasciato a Marzo. Gli altri malware diffusi in queste campagne sono Marap e Quant Loader, due downloader che possono scaricare e installare sul pc bersaglio svariati altri malware. Qualche info in più:
- Marap:
ha debuttato sulla scenda dei malware piuttosto recentemente: il primo esemplare analizzato dai ricercatori di sicurezza di Proofpoint risale all'Agosto 2018. E' un downloader modulare diffuso quasi esclusivamente nell'ambito di campagne che colpiscono le istituzioni finanziarie. Tra le varie funzioni ha appunto quella di poter scaricare e implementare altri moduli o payload, permettendogli di continuare a potenziarsi anche dopo l'infezione. E' scritto in C e contiene notevoli funzioni anti analisi. - Quant Loader: individuato per la prima volta nel Settembre 2016, era largamente usato per distribuire il ransomware Locky e l'infostealer Pony. Di per sè la funzione di Quant Loader è scaricare altri malware sul dispositivo infetto. E' un malware che viene facilmente individuato dagli antivirus, mancando quasi completamente di funzioni anti-rilevamento e di offuscamento del codice.
Nessun commento:
Posta un commento