Infos

Le reseau de zombies Necurs reprend des forces et change de cible

Les experts de Cisco Talos ont remarqué une augmentation de l’activité du réseau de zombies Necurs depuis le 20 mars ainsi qu’un nouveau type de spam diffusé par celui-ci en grande quantité.

Necurs est considéré comme le plus grand réseau de zombies au monde. L’année dernière, il servait principalement à diffuser Locky et Dridex, mais au début de l’année 2017, les experts ont remarqué un ralentissement de son activité. Le réseau de zombies avait totalement disparu et avait entraîné avec lui une bonne partie du spam contenant Locky. Le réseau de zombies a toutefois repris des forces à la fin du mois de mars et a commencé à diffuser de gros volumes de courrier indésirable dans le cadre de campagnes d’escroquerie de type pump-and-dump. Il semblerait que les propriétaires du réseau de zombies tentent d’en retirer tous les avantages économiques.

L’escroquerie de type pump-and-dump repose sur le gonflement artificiel de la valeur d’actions vendues sur le marché libre. Les escrocs achètent ces actions, cherchent à faire augmenter leur valeur à l’aide de messages de spam publicitaire et d’imitations d’opérations puis, avant que la supercherie ne soit inévitablement découverte, revendent les actions et gardent la différence.

Campagnes font intervenir différents « sous-traitants » : des gestionnaires de réseau de zombies, des pirates qui accèdent à des comptes de courtiers en bourse afin de reproduire des opérations d’achat et de vente d’actions et des spécialistes du marché des actions. Ces derniers aident les escrocs à enregistrer des sociétés écrans, à ajouter des « certificats » de fiabilité des actions et à contourner les restrictions boursières.

Le 20 mars 2017, Cisco Talos a commencé à observer une nouvelle vague de spam. Ces messages ne contenaient pas de fausses factures ou de confirmations de livraison de colis comme c’était souvent le cas dans la diffusion de spam malveillant contenant Locky et Dridex. Les messages ne contenaient pas non plus de liens ou de pièces jointes malveillantes. Il s’agissait d’un recueil d’informations boursières qui affirmait, entre autres, que le cours de l’action d’une société baptisée InCapta Inc. (symbole $INCT) allait augmenter.

Le message signalait que DJI, un fabriquant de drones connu, allait acheter des actions ($INCT) de InCapta au cours généreux de 1,37 USD d’après des personnes proches du dossier. Le message indiquait que les produits d’InCapta « avait révolutionné le secteur des engins volants sans pilotes ». Les sources de l’informations recommandaient d’acheter des actions avant l’annonce de l’acquisition prévue pour le 28 mars, avant que le cours n’augmente de 20 cents par actions car DJI était prêt à acheter les actions de ce fabriquant « très prometteur » à un prix 1 000 % supérieur au cours actuel.

Le volume de diffusion de ce spam est important : rien qu’au cours de la journée du 20 mars, des dizaines de milliers de messages ont été diffusés et ce, en quelques heures seulement pour la majorité d’entre eux. Les données de télémétrie confirment que Necurs est à nouveau actif.

La société InCapta Inc. est un développeur d’applications et le volume d’actions achetées lors de la campagne de spam a atteint le million en quelques heures et à la fin de la journée, ce chiffre s’élevait à 4,5 millions, soit plusieurs fois supérieur au volume normal.

Après cette campagne, Cisco Talos a remarqué une deuxième hausse d’activité et l’arrivée d’une vague de spam plus importante encore. Les messages de la deuxième vague se distinguaient légèrement de ceux de la première : l’objet du message était différent et le corps du message présentait également des modifications. Le cours de l’action d’InCapta allait à nouveau augmenter.

Ce n’est pas la première fois que Necurs est impliqué dans la diffusion de messages dans le cadre de campagnes pump-and-dump. La dernière campagne de ce genre avait été enregistrée peu de temps avant l’arrestation des propriétaires du réseau de zombies, ce qui avait débouché sur le ralentissement des activités de Necurs. Ceci étant dit, l’activité associée à ce réseau de zombies illustre clairement que les circonstances sont capables d’imposer le changement des méthodes et des tactiques pour rentabiliser les ressources existantes.

Source: Threatpost

Le reseau de zombies Necurs reprend des forces et change de cible

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception