Necurs атакует банковскую систему, распространяя зловред FlawedAmmyy
Специалисты Cofense предупреждают, новая атака направленая на банки, распространяет малварь FlawedAmmyy.
Стоит напомнить, ботнет Necurs это активный, крупный спамерский ботнет, известен с 2012 года. В составе миллионы хостов.
В 2017 использовался для рассылки банковского трояна, Dridex, Locky и многих. Эта сеть достаточно активировалась в последнее время, сеть работает благодаря использованию DGA, P2P и доменов .bit. Эксперты обнаружили, ботнет распространяет дроппер Marap.
Теперь же под угрозой банковский сектор, компания затронула 3700 доменов. Небольшие, крупные фин учреждения попали под прицел.
Распространение происходит с помощью спама, во вложении находятся файлы Microsoft Office Publisher и PDF.
Файлы .pub используются не с проста. Макросы в этих файлах запускаются автоматически, защита от Microsoft не срабатывает, как в случаях с Word, Excel.
FlawedAmmyy предоставляет хакерам возможность доступа к системе жертвы, может выполнять различные команды. Например, можно получить доступ к менеджеру файлов, транслировать экран, , использовать RDP SessionsService, аудио чат и многое другое.