Necurs ändert schon wieder seine Verhaltensweisen

Originalbeitrag von Anita Hsieh, Rubio Wu, Kawabata Kohei

Sechs Jahre nach seinem ersten Auftauchen, zeigt das Necurs Malware Botnet immer noch weitere Chamäleon-Fähigkeiten. Die Sicherheitsforscher von Trend Micro entdeckten kürzlich bemerkenswerte Änderungen in der Art, wie Necurs seine Bots einsetzt, auch werden sie mit Infostealern versehen. Darüber hinaus zeigt Necurs wachsendes Interesse an Bots mit bestimmten Eigenschaften. Diese Verhaltensänderungen könnten große Auswirkungen haben, denn die Malware ist auch bisher in großem Stil eingesetzt worden.

Die aus Modulen bestehende Malware kann diese beliebig in ihrem Bot-Netzwerk laufen lassen. 2017 bestückte Necurs seine Bots mit Spamming- und Proxy-Modulen. In diesem Jahr gab es einen beachtlichen Rückgang in Necurs Spam-Aufkommen im Vergleich zum letzten Quartal 2017. Stattdessen schob Necurs Krypto-Miners und Infostealer — FlawedAmmyy RAT, AZORult und ein .NET-Modul — als Module auf seine Bots.

Necurs pusht XMRig auf seine Bots und schürft Monero

Im März legte die Malware einen Monero Miner — XMRig — auf seinen Bots ab. Zum Zeitpunkt der Entdeckung hatte der Wallet-Besitzer rund 1.200 $ innerhalb von 24 Stunden verdient.


Bild 1. Ein Bildschirm-Capture zeigt den Verdienst des Wallet-Besitzers via XMRig

Im April legte Necurs den Remote Access Trojaner FlawedAmmyy auf seinen Bots ab. FlawedAmmyy ist eine trojanisierte Version des legitimen RAT-Tools Ammyy Admin. Es hat die Funktionalität von Ammyy Admin, einschließlich Remote Desktop-Kontrolle, Dateisystem-Management, Proxy-Unterstützung und Audio-Chat-Fähigkeiten.

Necurs pusht verschiedene Module über C&C-Befehle. Diese Module prüfen die Bots, ob sie einem der folgenden Kriterien entsprechen, siehe auch Originalbeitrag:

  1. Bots mit Krypto-Wallets.
  2. Bots in bankenbezogenen Domänen oder mit Möglichkeit, eine zu erreichen.
  3. Bots, die in einem Netzwerk mit mehr als 100 Mitarbeitern laufen. 
  1. Bots, die in POS-bezogenen Prozessen laufen.
  2. Bots, die mit einer Mail-Adresse auf einer fest codierten Liste angemeldet sind.

Entsprechen die Bots einem oder mehreren Kriterien, so installieren die Module das FlawedAmmyy-RAT. Nachdem die Sitzung gestartet wurde, stiehlt das RAT auf den infizierten Bots Infos und sendet sie zurück. Details im Originalbeitrag

Necurs pusht Module für Mail Exfiltrierung

Im Mai entdeckten die Forscher Necurs-Module, die Mail-Konten exfiltrierten und sie an die Adresse hxxp://185[.]176[.]221[.]24/l/s[.]php schickten. Nach ein paar Tagen wurden auch FlawedAmmyy RATs abgelegt, die aber eine andere Eigenschaft besaßen – sie enthielten fest codierte Mail-Listen. Es stellte sich heraus, dass die Hintermänner möglicherweise Schlüsselwörter (Banken, Tourismus, Immobilien etc.) suchten, um Adressen herauszusuchen, die sie interessierten. Details im Originalbeitrag.

Mögliche Änderungen in der Spamtaktik

Im Juni pushte Necurs ein .NET Spamming-Modul, das Mails verschicken und Anmeldeinformationen vom Internet Explorer, Chrome sowie Firefox stehlen konnte. Details im Originalbeitrag.

In der Vergangenheit verschickte Necurs Spam direkt über seine Bots, was es ermöglichte, Bot-IPs auf Blacklists zu setzen. Wenn die Spam-Mails jedoch über legitime E-Mail-Clients mit Whitelist-IPs versendet werden, funktioniert die IP-Sperrlösung möglicherweise nicht richtig. Außerdem stammen diese Spam-Mails von Konten, die der Empfänger bereits kennt. Diese Technik ist prinzipiell nicht neu ist – einige Malware-Kampagnen wie EMOTET und Ursnif/Dreambot verwendeten sie bereits. Neu ist sie aber für Necurs. Möglicherweise wird dieses Modul als Test für künftige Kampagnen eingesetzt.

Schutzmaßnahmen vor Necurs Malware

Auf Endpoint-Ebene bieten Trend Micro Smart Protection Suites und Trend Micro Worry-Free Services Advanced Schutz, weil sie bösartige Dateien und Spam-Nachrichten erkennen und alle dazu gehörigen bösartigen URLs blocken. Mithilfe des Deep Discovery™ Email Inspector können Spam-Mails und bösartige Anhänge erkannt und geblockt werden.

Trend Micro Hosted Email Security ist eine wartungsfreie cloudbasierte Lösung, die permanent aktuellen Schutz bietet und Spam, Malware, Spear-Phishing und komplexe, zielgerichtete Angriffe stoppt, bevor sie Ihr Netzwerk erreichen. Hosted Email Security schützt Microsoft Exchange, Microsoft Office 365, GoogleApps sowie viele weitere gehostete und lokale E-Mail-Lösungen. E-Mail-Verschlüsselung ist in der Basisversion bereits enthalten.

Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern.

Eine Liste aller Hashes (SHA256) ist vorhanden.

Zusätzliche Einblicke stammen von Fyodor Yarochkin.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.