Necurs僵尸网络再度出手,攻击目标锁定这类人

Necurs僵尸网络再度出手,攻击目标锁定这类人

Necurs僵尸网络作为垃圾邮件发送软件的鼻祖,已经成为网络犯罪的代名词。它由几百万台受感染的设备组成,一直致力于分发银行恶意软件、加密劫持恶意软件、勒索软件以及每次运行时发送给数百万收件人的各种电子邮件进行诈骗。在过去五年中,Necurs 僵尸网络已经发展成为全球最大的垃圾邮件传播组织。

IBM公司的 X-Force研究团队一直在监控Necurs的活动踪迹,近期他们发现这座堪称“恶意垃圾邮件活火山”的另一面。这一次,Necurs发出了针对性的电子邮件,目的是勒索那些观看成人视频或可能有婚外情的人。

当然,本次垃圾邮件攻击活动是通过Necurs的另一个广播网络进行的。攻击者们并不知道那些收到邮件的人是否真的有过观看成人视频或婚外情的行为,但无论如何,总有人会中招,就像其他的网络钓鱼和社交诈骗一样,广撒网总能捕到鱼!

超过30,000个IP发送勒索诈骗邮件

在9月中旬左右开始的Necurs垃圾邮件活动中,X-Force检测到数百万封发送给不同国家/地区收件人的电子邮件,这些邮件基本上都来自同一组恶意IP,其内容也大致相似。这些电子邮件来自30,000多个不同的IP地址,其中70%是动态IP。攻击者要求受害者向500多个加密钱包中的某一个支付比特币。该攻击活动表现出典型的活动峰值,在周中和周末活动频率明显更高。下图是2018年9月记录的Necurs僵尸网络勒索垃圾邮件的峰值(数据来源:IBM X-Force):

Necurs僵尸网络再度出手,攻击目标锁定这类人

所有利用Necurs僵尸网络的网络犯罪活动,其背后攻击者都与“大名鼎鼎”的网络犯罪团伙相关,例如Dridex恶意软件、TrickBot、Locki和Monero矿工的操作者。但在这种情况下,攻击者只是单调的发送同样的电子邮件,然后等待赎金支付。

X-Force研究人员检查出这些勒索电子邮件的内容,发现了许多重复的格式,其中发件人欺骗用户称他们的电子邮件账户和计算机设备被成人网站上的恶意软件感染,另外还通过摄像头记录了他们观看成人视频的过程。

为了替受害者保密这件事,攻击者要求他们以比特币的形式支付一定的费用,从250到550美元不等。否则,攻击者威胁称会将所谓的录像分发给受害者家人、同事、朋友等人。

在另一起骗局中,攻击者声称他们知道受害者的婚外情情况,并威胁要将所谓的婚外情证据发送给受害者的配偶,家人,朋友和同事。

其实在上述所有情况下,发件人根本无法控制收件人的计算机设备或网络摄像头,所有的一切都是攻击者虚张声势。但是为了使收件人上当受骗,垃圾邮件发送者做了一点小手脚:“From”标题字段的值等于“To”标题字段的值,这似乎证实了攻击者可以访问受害者的帐户/计算机。此外,“SMTP-From”和“SMTP-To”值等于“From”值。

如何判定使用哪种语言版本的垃圾电子邮件

与之前的恶意活动不同,Necurs僵尸网络正在分发不同语言版本的垃圾电子邮件。根据收件人网络邮件的顶级域名(TLD)来确定使用哪种语言版本的垃圾电子邮件。例如,如果域名结尾是.co.uk,那么就应该发送英语版本的电子邮件,域名结尾是.fr的,则使用法语版本。

虽然此次攻击活动中包含七种不同语言的垃圾电子邮件,但绝大多数都是用德语发送的,当收件人电子邮件地址具有.de或.ch 的顶级域名时,最终会出现在X-Force垃圾邮件蜜罐中。

Necurs僵尸网络再度出手,攻击目标锁定这类人

到目前为止,此攻击活动涉及的语言包括:阿拉伯语、英语、法语、德语、意大利语、日语和韩语。对于其中出现阿拉伯语、日语和韩语版本的电子邮件,研究人员颇感意外,因为这些语言难以进行机器翻译,且此前很少被攻击者们使用。

受害者以比特中支付赎金

从外部判断垃圾邮件攻击活动是否成功并不容易,即便是专业的安全研究人员也很难获知到底有多少人打开了恶意电子邮件,多少人访问了网络钓鱼网站,或者多少人最终支付了多少赎金。只有访问攻击者的比特币钱包地址才能寻找到一点蛛丝马迹。

此次攻击活动中,X-Force共发现了约500个比特币钱包地址。然而,大多数电子邮件中显示只有那么几个少数的钱包地址,其他的钱包很少被使用。因此,可以通过BitRef等服务来查询这些不法分子的财务状况,这一研究人员就能判断其比特币钱包的入账金额。

研究人员检查了该其中的前20个比特币钱包地址。例如,发送给德国收件人的300多万封电子邮件中出现的某一个钱包地址进账0.52个比特币(约3,300美元)这个钱包在此后就再也没有任何进账了,9月19日停止接收比特币。其他常用的钱包也是类似的情况:

Necurs僵尸网络再度出手,攻击目标锁定这类人

(*2018年10月4日当天比特币对美元汇率)

仅20个主要钱包中包含的比特币总额约为50,000美元,一些钱包仍在积极地接收比特币。大多数钱包中存有货币提取记录,余额很快归零,这意味着攻击者们已经将比特币转移到其他钱包或已经兑现了。

防止网络钓鱼,别被“诱饵”迷惑

在平时,我们就需要提高网络安全方面的意识,尤其是与电子邮件相关的基础知识。

我们应该始终避免打开来源不明的电子邮件,这可以最大限度地降低诈骗勒索风险。别被攻击者精心设计的骗局迷惑,他们的目的在于利用受害者的恐惧、紧张,使其一步一步走向陷阱。上述攻击中受害者被以婚外情证据勒索就是典型的例子。

除此之外,我们还应该对帐户启用电子邮件过滤功能,以阻止大多数垃圾邮件。通过运行最新的防病毒程序,使个人设备尽可能远离恶意软件。

如果有必要的话,请使用另一台独立的设备进行在线银行业务以及涉及敏感信息传输的其他活动。一般而言,成人视频网站以高流量而闻名,因此通常成为网络犯罪分子的目标,这有助于为这一骗局提供更多可信度。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/news/115288.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code