Модуль був класифікований як доступний на вимогу проксі-сервер, який здатний перенаправляти трафік через заражені хости, використовуючи для цього протоколи HTTP, SOCKSv4 і SOCKSv5. Лише недавно дослідникам вдалося зрозуміти, що нова функціональність пов'язана з DDoS-атаками. Експерти зафіксували дивний трафік, що виходить від заражених Necurs комп'ютерів: машини зверталися не тільки стандартного для модулів 80 порту, але і до порту 5222, використовуючи інший протокол. Розслідування цієї аномалії показало, що проксі-модуль може отримувати команди, які наказують ботам атакувати певну мету за допомогою HTTP- або UDP-флуда.
Поки експерти не зафіксували жодної DDoS-атаки, що виходить від Necurs, але фахівці AnubisNetworks Labs висловлюють занепокоєння через потенційну потужності DDoS-атак, що йдуть від такого ботнету.
«Все це вкрай цікаво, з огляду на розміри Necurs (найбільший ботнет, оснащений даним модулем, начитує більше мільйона активних ботів на добу). Ботнет такої величини здатний здійснити вкрай потужну DDoS-атаку », - пишуть дослідники.
При цьому деякі експерти вважають, що модуль для DDoS-атак з'явився в складі Necurs зовсім не для монетизації подібних атак. Енді Шумейкер (Andy Shoemake), глава компанії NimbusDDoS. яка займається тестуванням сервісів і DDoS-симуляціями каже:
«Думаю, DDoS-функціональність могла не призначатися для отримання фінансової вигоди за допомогою вимагання. Мотивація [операторів ботнету] могла відрізнятися, і функціональність призначена для інших, менш ризикованих сценаріїв, можливо, навіть для атак на інших хакерів ».
Незалежний ІБ-дослідник MalwareTech, який багато років стежить за еволюцією Necurs. теж вважає, що масштабних атак від ботнету чекати не доводиться. Експерт вважає, що з урахуванням віку DDoS / проксі-модуля, той міг призначатися для заробітку, але якщо до цього часу не було зафіксовано жодної атаки, значить, оператори малварі, найімовірніше, прийшли до висновку, що займатися спамом все-таки вигідніше .
Поділися новиною з друзями: