Le reseau de zombies Necurs reprend des forces et change de cible

Les experts de Cisco Talos ont remarqué une augmentation de l’activité du réseau de zombies Necurs depuis le 20 mars ainsi qu’un nouveau type de spam diffusé par celui-ci en grande quantité.

Necurs est considéré comme le plus grand réseau de zombies au monde. L’année dernière, il servait principalement à diffuser Locky et Dridex, mais au début de l’année 2017, les experts ont remarqué un ralentissement de son activité. Le réseau de zombies avait totalement disparu et avait entraîné avec lui une bonne partie du spam contenant Locky. Le réseau de zombies a toutefois repris des forces à la fin du mois de mars et a commencé à diffuser de gros volumes de courrier indésirable dans le cadre de campagnes d’escroquerie de type pump-and-dump. Il semblerait que les propriétaires du réseau de zombies tentent d’en retirer tous les avantages économiques.

L’escroquerie de type pump-and-dump repose sur le gonflement artificiel de la valeur d’actions vendues sur le marché libre. Les escrocs achètent ces actions, cherchent à faire augmenter leur valeur à l’aide de messages de spam publicitaire et d’imitations d’opérations puis, avant que la supercherie ne soit inévitablement découverte, revendent les actions et gardent la différence.

Campagnes font intervenir différents « sous-traitants » : des gestionnaires de réseau de zombies, des pirates qui accèdent à des comptes de courtiers en bourse afin de reproduire des opérations d’achat et de vente d’actions et des spécialistes du marché des actions. Ces derniers aident les escrocs à enregistrer des sociétés écrans, à ajouter des « certificats » de fiabilité des actions et à contourner les restrictions boursières.

Le 20 mars 2017, Cisco Talos a commencé à observer une nouvelle vague de spam. Ces messages ne contenaient pas de fausses factures ou de confirmations de livraison de colis comme c’était souvent le cas dans la diffusion de spam malveillant contenant Locky et Dridex. Les messages ne contenaient pas non plus de liens ou de pièces jointes malveillantes. Il s’agissait d’un recueil d’informations boursières qui affirmait, entre autres, que le cours de l’action d’une société baptisée InCapta Inc. (symbole $INCT) allait augmenter.

Le message signalait que DJI, un fabriquant de drones connu, allait acheter des actions ($INCT) de InCapta au cours généreux de 1,37 USD d’après des personnes proches du dossier. Le message indiquait que les produits d’InCapta « avait révolutionné le secteur des engins volants sans pilotes ». Les sources de l’informations recommandaient d’acheter des actions avant l’annonce de l’acquisition prévue pour le 28 mars, avant que le cours n’augmente de 20 cents par actions car DJI était prêt à acheter les actions de ce fabriquant « très prometteur » à un prix 1 000 % supérieur au cours actuel.

Le volume de diffusion de ce spam est important : rien qu’au cours de la journée du 20 mars, des dizaines de milliers de messages ont été diffusés et ce, en quelques heures seulement pour la majorité d’entre eux. Les données de télémétrie confirment que Necurs est à nouveau actif.

La société InCapta Inc. est un développeur d’applications et le volume d’actions achetées lors de la campagne de spam a atteint le million en quelques heures et à la fin de la journée, ce chiffre s’élevait à 4,5 millions, soit plusieurs fois supérieur au volume normal.

Après cette campagne, Cisco Talos a remarqué une deuxième hausse d’activité et l’arrivée d’une vague de spam plus importante encore. Les messages de la deuxième vague se distinguaient légèrement de ceux de la première : l’objet du message était différent et le corps du message présentait également des modifications. Le cours de l’action d’InCapta allait à nouveau augmenter.

Ce n’est pas la première fois que Necurs est impliqué dans la diffusion de messages dans le cadre de campagnes pump-and-dump. La dernière campagne de ce genre avait été enregistrée peu de temps avant l’arrestation des propriétaires du réseau de zombies, ce qui avait débouché sur le ralentissement des activités de Necurs. Ceci étant dit, l’activité associée à ce réseau de zombies illustre clairement que les circonstances sont capables d’imposer le changement des méthodes et des tactiques pour rentabiliser les ressources existantes.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *