پژوهشگران بیش از هزار سرور ثبت‌شده در آمریکا را شناسایی کردند که از 10 خانواده بدافزار مختلف میزبانی و آنها را از طریق عملیات فیشینگ مرتبط با بات‌نت Necurs توزیع می‌کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران Bromium به‌تازگی اعلام کردند که در بازه زمانی مارس ۲۰۱۸ تا مارس ۲۰۱۹ بر چندین عملیات مخرب مرتبط با این زیرساخت نظارت کرده‌اند. در این سرورها پنج تروجان بانکی شامل Dridex ،Gootkit ،IcedID ،Nymaim و Trickbot دو باج‌افزار شامل Gandcrab و Hermes و سه بدافزار سارق اطلاعات شامل Fareit ،Neutrino و Azorult مشاهده شده‌اند.

یکی از این سرورها متعلق به یک سیستم مستقل است که سرویس میزبانی bulletproof نام دارد. یازده سرور دیگر متعلق به یک شرکت در Nevada است که سرورهای خصوصی مجازی به فروش می‌رساند.

به گفته پژوهشگران، ایمیل‌های فیشینگ بردار حمله اصلی حملات شناسایی شده‌است. در این حملات از فایل‌های Word حاوی ماکروهای VBS مخرب استفاده شده‌است. ایمیل‌ها در قالب یک سازمان شناخته‌شده ارسال شده‌اند و محتوای آنها مربوط به موقعیت‌های شغلی است.

سرورها برای عملیات مختلف مورد استفاده مجدد قرار گرفته‌اند. برای مثال در ۹ مارس یک سرور برای توزیع تروجان بانکی IcedID به کار گرفته و یک هفته بعد همان سرور برای میزبانی Dridex استفاده شد. در مورد دیگری، پژوهشگران Bromium یک وب سرور را مشاهده کردند که در مدت ۴۰ روز از 6 خانواده بدافزاری مختلف میزبانی کرده‌است.

علاوه‌بر این، شواهدی نیز وجود دارند که نشان می‌دهد سرورها با بات‌نت Necurs در ارتباط هستند.