Si riattiva la botnet Necurs: ora gioca in Borsa

Gli esperti di Cisco Talos hanno osservato, all’inizio dell’ultima decade di marzo, un sensibile aumento del livello di attività della botnet Necurs, e la conseguente distribuzione, da parte di quest’ultima, di grandi quantità di spam, riconducibile ad una nuova tipologia.

Necurs, di fatto, è riconosciuta essere la botnet in assoluto più estesa nel mondo. Lo scorso anno, essa veniva principalmente utilizzata per diffondere Locky e Dridex; all’inizio del 2017, tuttavia, gli esperti avevano rilevato una pronunciata diminuzione delle attività condotte da Necurs; la botnet era completamente scomparsa dall’orizzonte, portando via con sé buona parte dello spam contenente il famigerato ransomware Locky. Necurs, ad ogni caso, si è pienamente riattivata verso la fine del mese di marzo, ed ha così iniziato a distribuire enormi volumi di spam, nel quadro di specifiche campagne fraudolente di tipo “pump-and-dump”. Con ogni probabilità, i proprietari della botnet cercano, in questo modo, di ricavare dalla stessa i massimi profitti.

Lo schema truffaldino denominato “pump-and-dump” (l’espressione significa, tradotta letteralmente dall’inglese,”pompa e sgonfia”) si basa sul gonfiare ad arte i prezzi relativi ad azioni a bassa capitalizzazione – in genere riconducibili a società di piccole dimensioni – scambiate sul libero mercato. Nella fattispecie, gli speculatori provvedono ad acquistare, o a prendere in consegna, le azioni in questione, giocando poi al rialzo delle stesse tramite insistiti mailing di spam pubblicitario, oppure simulando operazioni di trading; in seguito, prima che si verifichi l’inevitabile default, i malintenzionati si sbarazzano dei titoli azionari il cui valore è stato artificialmente gonfiato, mettendosi in tasca le plusvalenze realizzate.

Spesso, a tali frodi prendono ugualmente parte i cosiddetti “mercenari” della Rete, nella figura di botmaster e spammer, di hacker specializzati nel violare specifici account relativi alla sfera del brokeraggio – per simulare la compravendita dei titoli di borsa – ed anche di “esperti” o “professionisti” del mercato azionario. Questi ultimi aiutano i truffatori a registrare società fasulle, a procurarsi apposite “certificazioni” riguardo alla solidità e all’affidabilità delle azioni, e anche ad aggirare le restrizioni previste nell’ambito del mercato borsistico.

Nel corso della giornata del 20 marzo 2017, gli esperti di Cisco Talos hanno iniziato ad osservare una nuova ondata di spam; i messaggi, tuttavia, non recavano fatture false o conferme fasulle relative alla consegna di merci, come di solito avveniva nel quadro specifico delle operazioni di diffusione dello spam maligno relativo ai malware Locky e Dridex. Stavolta, le e-mail non contenevano né link malevoli, né allegati dannosi; esse si presentavano, invece, in veste di bollettino informativo, con specifiche notizie riguardanti il mercato borsistico; nella fattispecie, si affermava che, di lì a poco, sarebbe notevolmente aumentato il prezzo delle azioni identificate con il “ticker” $INCT, appartenenti alla società InCapta Inc.

Più precisamente, attraverso tali messaggi si comunicava che i titoli azionari della società InCapta Inc. ($INCT) sarebbero stati acquistati, al generoso prezzo di 1,37 dollari $ per azione, da DJI, noto produttore di droni; apparentemente, la notizia sembrava essere trapelata attraverso non ben precisati insider. Nelle e-mail si affermava, inoltre, che la produzione di InCapta “aveva letteralmente rivoluzionato il settore degli aeromobili a pilotaggio remoto”. Nella circostanza, gli “insider” avevano raccomandato di procedere all’acquisto delle azioni prima che venisse divulgata la presunta notizia relativa all’imminente acquisizione societaria, prevista per il 28 marzo, e quindi prima che il prezzo del titolo in questione potesse salire sino a 20 cent per azione, visto che la società DJI si dichiarava disposta a pagare, per le azioni appartenenti al “promettente” sviluppatore di app mobile, oltre il 1000% del loro attuale valore.

Messaggi di spam del genere sono stati diffusi davvero in gran numero: soltanto nella giornata del 20 marzo sono state inviate decine di migliaia di e-mail fraudolente; la maggior parte di esse, oltretutto, è stata distribuita nell’arco di poche ore. I dati di telemetria raccolti hanno evidenziato come la botnet Necurs sia indubbiamente uscita da una sorta di lungo letargo.

Durante la campagna di spam qui analizzata, il numero delle azioni di InCapta Inc. (società specializzata nello sviluppo di applicazioni) divenute oggetto di scambio, ha superato il milione di unità nel giro di qualche ora; entro la fine della giornata tale quantità si è poi rivelata superiore ai 4,5 milioni, risultando di molte volte superiore ai volumi abituali.

Una volta conclusasi tale campagna, CiscoTalos ha rilevato un secondo picco del livello di attività, ed il conseguente arrivo di un’ondata di spam di proporzioni ancora maggiori. I messaggi facenti parte di questa seconda ondata differivano, per certi aspetti, dai precedenti: l’oggetto del messaggio, ad esempio, risultava diverso, e nel corpo stesso dell’e-mail potevano essere rilevate alcune significative differenze. Sì, davvero curioso: ma il prezzo delle azioni InCapta, intanto, era di nuovo salito.

Non è la prima volta che la botnet Necurs prende parte all’invio di messaggi di spam attraverso i quali viene attuato lo schema malevolo “pump-and-dump”. L’ultima di tali campagne fraudolente era stata osservata poco prima dell’arresto dei proprietari della botnet; successivamente, Necurs era scomparsa dalla scena, finendo letteralmente nell’ombra. La particolare tipologia delle attività collegate a tale botnet dimostra chiaramente come, in presenza di circostanze specifiche, possano essere di fatto cambiate le metodologie e le strategie utilizzate per monetizzare al massimo le risorse a disposizione dei malfattori.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *