Recientemente se ha visto un pico en la actividad de la botnet de Necurs al cambiar su intención de distribuir malware para aumentar ganancias mediante el spam.

Según Cisco Talos, durante el año pasado Necurs se ha utilizado principalmente para la distribución del ransomware Locky y Dridex. Pero después de que misteriosamente se desconectó a principios de este año, la distribución Locky disminuyó significativamente.

Ahora, "en lugar de distribuir malware en forma de archivos adjuntos maliciosos, parece haber cambiado de nuevo a los mensajes", dijo en un análisis los investigadores de Cisco Sean Baird, Edmund Brumaghin, Earl Carter y Jaeson Schultz. "Esta no es la primera vez que Necurs se ha utilizado para enviar correos electrónicos de fraude en inversiones de gran volumen... Esta divergencia estratégica de la distribución de malware puede ser indicativa de un cambio en la forma en que los atacantes intentan aprovechar económicamente esta botnet".

Las campañas de correo electrónico asociadas con Locky y Dridex generalmente se presentan como notificaciones de transacciones y pretenden contener notificaciones de envío y notificaciones de transacciones automatizadas. La nueva ronda de correos electrónicos de Necurs no contiene ningún hipervínculo o adjunto malicioso. En su lugar, dicen ser consejos de acciones al alza.

"... afirma que InCapta Inc ($ INCT) va a ser comprada a $ 1,37 por acción por DJI (una compañía drones) basada en información supuestamente obtenida de colegas de una firma de M&A en Manhattan. El correo electrónico explica que DJI está avanzando con la compra", explicó Cisco. Y parece ser eficaz: la empresa dijo que las acciones de InCapta, una empresa de desarrollo de aplicaciones móviles, ha visto un aumento significativo en el volumen de operaciones.

Se trata de un esquema clásico de Get-Rich-Quick (hacerse rico rápidamente), con mensajes que van tan lejos como para garantizar "volúmenes masivos". Los mensajes fueron enviados en volúmenes relativamente altos, con decenas de miles de personas vistas a lo largo de la mañana del 20 de marzo. Las direcciones bloqueadas aumentaron a más de 150,000 durante el curso de dos oleadas de la nueva campaña.

Los atacantes parecen estar cambiando sus metodologías, así como las estrategias que utilizan para monetizar los sistemas bajo su control. Curiosamente, el análisis de Cisco también encontró que las mismas direcciones de correo electrónico parecen ser usadas tanto en la distribución de malware de Necurs como en la campaña de spam", insinuando el hecho de que los operadores de Necurs pueden usar una base de datos compartida de direcciones de correo electrónico incluso cuando los clientes solicitan diferentes servicios."

Esta no es la primera vez este año que Necurs ha sido observado cambiando sus actividades. En febrero, Anubis Networks observó que tomaba una página de Mirai preparándose para actuar como infraestructura para ataques DDoS. También se vio cargando un nuevo módulo, lo que indica que puede agregar nuevas capacidades en cualquier momento.