E-Mail Spam Kampagne
Spam über Necurs-Botnetz wieder sehr aktiv
Necurs kehrt zurück
Das Necurs-Botnetz, das letztes Jahr für Millionen von bösartigen Spam-Nachrichten verantwortlich war, ist seit kurzem wieder sehr aktiv. In den vergangenen drei Wochen wurden E-Mails mit einem bösartigen PDF-Anhang verschickt. Darin war ein Word-Dokument mit einem Makro enthalten, das wiederum Ransomware heruntergeladen hat.
Das folgende Bild zeigt das tägliche Spam-Aufkommen von letzter Woche, basierend auf der Spam Research Database von Trustwave. Typisch für das Necurs Botnetz ist der kurze aber massive Verteilungsgrad.
Wie üblich werden in der Spam-Kampagne überwiegend scheinbare Rechnungen als gefälschter PDF-Anhang versandt.
Neu ist allerdings, dass die aktuellen PDF-Dokumente diesmal eine größere Anzahl von Dateien im Gepäck haben, die eigentlich keine schädliche Funktion haben und so scheinbar als Köder fungieren. Nur eine Datei, die „main.docm“-Datei beinhaltet ein bösartiges Makro, das als Malware-Downloader arbeitet. Im folgenden Bild sehen sie, wie die Trustwave Secure Email Gateway diese Dateien interpretiert. Darunter sieht man die docm-Datei mit der Makrokomponente vbaProject.
Das Speichern und Öffnen des PDF-Anhangs bewirkt eine exportDataObject Launch-Anweisung, um die eingebettete .docm-Datei zu öffnen. Die PDF-Datei wird danach die eingebettete .docm-Datei starten und löschen. Sobald das Makro aktiviert ist, wird es anfangen eine schädliche Datei von der Jaff Ransomware URL herunterzuladen.
Das Necurs ist ein sehr großes Botnetz, das überwiegend an Wochenenden massiv, bösartige Spam-Mails verteilt. Für eine bessere Verschleierung, werden von Woche zu Woche die PDF-Anhänge kontinuierlich weiterentwickelt und erhalten im Laufe der Zeit mehr und mehr Schichten mit eingebetteten Dateien.
Das Trustwave Secure Email Gateway kann diese Bedrohung erkennen und blockieren.
written by HW
