Истина где-то ниже
Ноябрь 3, 2018

Вымогатели рассылают спам с IP-адресов ботнета Necurs

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Специалисты Talos Intelligence изучили две спам-кампании, авторы которых вымогали деньги, угрожая опубликовать интимное видео жертвы. Чтобы придать письму достоверность, мошенники добавляли в текст послания один из паролей получателя, скомпрометированный в результате утечки. Как выяснили эксперты, криминальные рассылки осуществлялись с IP-адресов ботнета Necurs, а биткойн-кошельки злоумышленников были замечены еще в нескольких аналогичных атаках.

Внимание аналитиков привлекли вредоносные рассылки, стартовавшие 30 августа и 5 октября этого года. Они имели ряд общих деталей в содержании писем и похожие электронные адреса отправителей. В послании злоумышленники утверждали, что взломали компьютер получателя и записали интимное видео с его веб-камеры. Киберпреступники угрожали разослать ролик контактам из адресной книги жертвы, если она не заплатит выкуп.

Как выяснили исследователи, за 58 дней, прошедших с момента старта первой рассылки, злоумышленники отправили более 233 тыс. писем со 137 тыс. уникальных IP-адресов. Большинство отправителей находилось на территории Вьетнама, России, Индии, Казахстана и Индонезии. При этом количество получателей спама было на порядок меньше — чуть более 15 тыс. Некоторые жертвы получали пять и более писем, а один из почтовых ящиков киберпреступники атаковали 354 раза.

По ряду признаков специалисты связывают эти кампании с активностью ботнета Necurs. Эксперты отмечают, что зомби-сеть управляет большим количеством зараженных устройств в Индии и Вьетнаме, а часть IP-адресов, с которых осуществляются новые рассылки, были замечены в других ее атаках.

При создании вредоносного письма злоумышленники использовали специальный скрипт, который формировал каждое предложение из нескольких вариантов готовых и схожих по смыслу фраз. Так мошенники пытались обойти спам-фильтры, блокирующие массовую рассылку одинаковых сообщений. Тот же макрос подставлял в текст сумму выкупа, случайным образом выбирая число от $1 до $7 тыс.

Для получения вознаграждения вымогатели использовали почти 60 тыс. уникальных биткойн-кошельков. По словам исследователей, большая часть из них так и остались пустыми, однако 83 аккаунта имели положительный баланс и содержали монеты на сумму более $146 тыс.

Специалисты произвели поиск по платежным реквизитам, указанным в рассылках, и обнаружили, что те же кошельки использовались и в других вредоносных кампаниях. В большинстве из них киберпреступники также размещали в тексте письма пароль или номер телефона получателя, для того чтобы убедить жертву в полном контроле над ее компьютером. Как отмечают аналитики, скорее всего, злоумышленники получили эти сведения в результате утечки данных.

Подобные атаки уже попадали в сферу внимания ИБ-специалистов. По мнению экспертов, злоумышленники могут и вовсе не обладать компрометирующими жертву материалами, а лишь запугивать ее, надеясь получить выкуп. Иногда усилия киберпреступников достигают цели — авторы секс-рассылки, зафиксированной в июле этого года, получили около $50 тыс., обманув не менее 30 человек.

Источник: https://threatpost.ru/extortionists-blackmail-users-from-necurs-ips/28993/