News

Si riattiva la botnet Necurs: ora gioca in Borsa

Gli esperti di Cisco Talos hanno osservato, all’inizio dell’ultima decade di marzo, un sensibile aumento del livello di attività della botnet Necurs, e la conseguente distribuzione, da parte di quest’ultima, di grandi quantità di spam, riconducibile ad una nuova tipologia.

Necurs, di fatto, è riconosciuta essere la botnet in assoluto più estesa nel mondo. Lo scorso anno, essa veniva principalmente utilizzata per diffondere Locky e Dridex; all’inizio del 2017, tuttavia, gli esperti avevano rilevato una pronunciata diminuzione delle attività condotte da Necurs; la botnet era completamente scomparsa dall’orizzonte, portando via con sé buona parte dello spam contenente il famigerato ransomware Locky. Necurs, ad ogni caso, si è pienamente riattivata verso la fine del mese di marzo, ed ha così iniziato a distribuire enormi volumi di spam, nel quadro di specifiche campagne fraudolente di tipo “pump-and-dump”. Con ogni probabilità, i proprietari della botnet cercano, in questo modo, di ricavare dalla stessa i massimi profitti.

Lo schema truffaldino denominato “pump-and-dump” (l’espressione significa, tradotta letteralmente dall’inglese,”pompa e sgonfia”) si basa sul gonfiare ad arte i prezzi relativi ad azioni a bassa capitalizzazione – in genere riconducibili a società di piccole dimensioni – scambiate sul libero mercato. Nella fattispecie, gli speculatori provvedono ad acquistare, o a prendere in consegna, le azioni in questione, giocando poi al rialzo delle stesse tramite insistiti mailing di spam pubblicitario, oppure simulando operazioni di trading; in seguito, prima che si verifichi l’inevitabile default, i malintenzionati si sbarazzano dei titoli azionari il cui valore è stato artificialmente gonfiato, mettendosi in tasca le plusvalenze realizzate.

Spesso, a tali frodi prendono ugualmente parte i cosiddetti “mercenari” della Rete, nella figura di botmaster e spammer, di hacker specializzati nel violare specifici account relativi alla sfera del brokeraggio – per simulare la compravendita dei titoli di borsa – ed anche di “esperti” o “professionisti” del mercato azionario. Questi ultimi aiutano i truffatori a registrare società fasulle, a procurarsi apposite “certificazioni” riguardo alla solidità e all’affidabilità delle azioni, e anche ad aggirare le restrizioni previste nell’ambito del mercato borsistico.

Nel corso della giornata del 20 marzo 2017, gli esperti di Cisco Talos hanno iniziato ad osservare una nuova ondata di spam; i messaggi, tuttavia, non recavano fatture false o conferme fasulle relative alla consegna di merci, come di solito avveniva nel quadro specifico delle operazioni di diffusione dello spam maligno relativo ai malware Locky e Dridex. Stavolta, le e-mail non contenevano né link malevoli, né allegati dannosi; esse si presentavano, invece, in veste di bollettino informativo, con specifiche notizie riguardanti il mercato borsistico; nella fattispecie, si affermava che, di lì a poco, sarebbe notevolmente aumentato il prezzo delle azioni identificate con il “ticker” $INCT, appartenenti alla società InCapta Inc.

Più precisamente, attraverso tali messaggi si comunicava che i titoli azionari della società InCapta Inc. ($INCT) sarebbero stati acquistati, al generoso prezzo di 1,37 dollari $ per azione, da DJI, noto produttore di droni; apparentemente, la notizia sembrava essere trapelata attraverso non ben precisati insider. Nelle e-mail si affermava, inoltre, che la produzione di InCapta “aveva letteralmente rivoluzionato il settore degli aeromobili a pilotaggio remoto”. Nella circostanza, gli “insider” avevano raccomandato di procedere all’acquisto delle azioni prima che venisse divulgata la presunta notizia relativa all’imminente acquisizione societaria, prevista per il 28 marzo, e quindi prima che il prezzo del titolo in questione potesse salire sino a 20 cent per azione, visto che la società DJI si dichiarava disposta a pagare, per le azioni appartenenti al “promettente” sviluppatore di app mobile, oltre il 1000% del loro attuale valore.

Messaggi di spam del genere sono stati diffusi davvero in gran numero: soltanto nella giornata del 20 marzo sono state inviate decine di migliaia di e-mail fraudolente; la maggior parte di esse, oltretutto, è stata distribuita nell’arco di poche ore. I dati di telemetria raccolti hanno evidenziato come la botnet Necurs sia indubbiamente uscita da una sorta di lungo letargo.

Durante la campagna di spam qui analizzata, il numero delle azioni di InCapta Inc. (società specializzata nello sviluppo di applicazioni) divenute oggetto di scambio, ha superato il milione di unità nel giro di qualche ora; entro la fine della giornata tale quantità si è poi rivelata superiore ai 4,5 milioni, risultando di molte volte superiore ai volumi abituali.

Una volta conclusasi tale campagna, CiscoTalos ha rilevato un secondo picco del livello di attività, ed il conseguente arrivo di un’ondata di spam di proporzioni ancora maggiori. I messaggi facenti parte di questa seconda ondata differivano, per certi aspetti, dai precedenti: l’oggetto del messaggio, ad esempio, risultava diverso, e nel corpo stesso dell’e-mail potevano essere rilevate alcune significative differenze. Sì, davvero curioso: ma il prezzo delle azioni InCapta, intanto, era di nuovo salito.

Non è la prima volta che la botnet Necurs prende parte all’invio di messaggi di spam attraverso i quali viene attuato lo schema malevolo “pump-and-dump”. L’ultima di tali campagne fraudolente era stata osservata poco prima dell’arresto dei proprietari della botnet; successivamente, Necurs era scomparsa dalla scena, finendo letteralmente nell’ombra. La particolare tipologia delle attività collegate a tale botnet dimostra chiaramente come, in presenza di circostanze specifiche, possano essere di fatto cambiate le metodologie e le strategie utilizzate per monetizzare al massimo le risorse a disposizione dei malfattori.

Fonte: Threatpost

Si riattiva la botnet Necurs: ora gioca in Borsa

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox