La botnet Necurs cambia el ransomware por la compra de acciones

La que es considerada a día de hoy como una de las botnets activas más grandes, ha vuelto de su letargo de varios meses pero con un cambio importante en las amenazas que distribuye. Durante todo 2016, la botnet Necurs fue especialmente conocida por ser la mayor responsable de la propagación del ransomware Locky y del troyano bancario Dridex.

Cambio de estrategia

Sin embargo, tras unos meses en los que esta botnet ha estado prácticamente inactiva, las recientes campañas de spam detectadas durante los últimos días han demostrado que sigue muy presente, aunque de momento haya cambiado su estrategia. Esto es así porque, en lugar de seguir propagando nuevas variantes de ransomware y troyanos bancarios, los usuarios se han encontrado con correos electrónicos que les invitan a aprovechar una oportunidad única para ganar acciones de una empresa que, supuestamente, iba a incrementar considerablemente su valor en bolsa.

Este tipo de mensajes se han ido enviando en sucesivas oleadas desde el pasado lunes 20 de marzo, cambiando ligeramente el asunto y el cuerpo del correo electrónico pero manteniendo el mensaje:

En ese mensaje se nos invita a aprovechar una oportunidad única invirtiendo en las acciones de una compañía que supuestamente va a aumentar considerablemente el valor de sus acciones. Los creadores de esta campaña de spam se han asegurado de que la empresa mencionada sea real y existan notas de prensa recientes para ganarse la confianza de los futuros inversores.

En qué consiste el engaño

Muchos usuarios y no pocos investigadores nos hemos visto sorprendidos por este cambio de estrategia empleado por los administradores de la botnet Necurs. Han pasado de propagar una amenaza que les da un beneficio rápido y directo, como es el ransomware, a entrar en el complejo mercado de las inversiones bursátiles.

¿Han tenido éxito con su estrategia? Pues, por sorprendente que pueda parecer, los millones de correos enviados han servido para convencer a los suficientes usuarios como para que existan fluctuaciones importantes en la cotización de las acciones de esta empresa, a pesar de que en el correo se la mencione como una empresa que se dedica a la fabricación de drones y en realidad se trate de una productora de televisión.

Si analizamos la evolución de las acciones de esta empresa durante los últimos días veremos como hay picos que coinciden perfectamente con las campañas de propagación de spam que observamos los días 20 y 22.

Evolucion de las acciones de InCapta Inc. Fuente: Wall Street Journal

Muchos de los que somos profanos en temas bursátiles nos preguntaremos si realmente merece la pena organizar todo este tinglado para aumentar el valor de las acciones que cotizan por poco más de 10 centavos de dólar, acciones que se conocen como “penny stock” y cotizan en el conocido como “pink market”.

Esta terminología puede sonarnos a chino, salvo si hemos visto la genial película protagonizada por Leonardo Di Caprio El lobo de Wall Street, donde en una de las escenas el protagonista utiliza llamadas frías para convencer a un cliente de que haga una importante inversión en una empresa que cotiza en este mercado, llevándose a cambio una jugosa comisión.

Algo parecido han querido hacer los administradores de la botnet Necurs con esta campaña. Con las acciones tan baratas han podido comprar una importante cantidad de éstas para, una vez que los usuarios que recibían los correos se decidían a invertir, ver cómo esas acciones pasaban a costar el doble, obteniendo unos beneficios del 100% en pocas horas.

Obviamente, los principales beneficiarios de esta estrategia eran los delincuentes, que sabían perfectamente cuándo vender sus acciones para maximizar el beneficio. El resto de usuarios o bien esperaban a la fecha indicada en el correo (28 de marzo en algunas muestras), o una vez se daban cuenta del engaño vendían sus acciones rápidamente, recuperando estas su valor normal.

Que se haya elegido a la empresa InCapta Inc. como cebo para los ingenuos inversores no ha sido fruto de la casualidad, puesto que las acciones de esta empresa experimentaron un crecimiento espectacular en fechas navideñas que no andaba lejos de los beneficios prometidos por el correo enviado a millones de usuarios. Lamentablemente para ellos, esa revalorización asombrosa de acciones no se ha vuelto a producir.

Evolucion de las acciones de InCapta Inc. Fuente: Wall Street Journal

Conclusión

Hemos de reconocer que este cambio de estrategia nos ha sorprendido bastante, más si tenemos en cuenta los grandes beneficios que durante 2016 ha generado la propagación del ransomware Locky a los administradores de la botnet Necurs.

Sin embargo, no es la primera vez que vemos cómo se intenta estafar a los usuarios utilizando scam financiero. Hace unos meses analizábamos en este mismo blog un supuesto método para conseguir beneficios rápidos invirtiendo en servicios financieros de alto riesgo, algo que ha hecho que muchos usuarios pierdan miles de euros en todo el mundo.

Seguiremos monitorizando la actividad de esta web para ver si esta campaña de spam ha sido algo temporal a modo de prueba o si realmente va a incorporarlo a su arsenal de amenazas, junto al ransomware y a los troyanos bancarios. De cualquier forma, mucho cuidado con los emails no solicitados y aquellas propuestas que parezcan demasiado ciertas para ser verdad.

Josep Albors

Créditos de la imagen de cabecera: rednuht via Foter.com / CC BY

Test de penetración, ¿tiene usted permiso?