이 봇넷은 주식추천에 관련된 대량의 스팸메일을 보내어 사용자들의 클릭을 유도하며, 이러한 방식을 보안연구원들은 pump-and-dump라고 부른다. 이 용어는 금융업계에서 사용하는 언어로, 스팸메일 발송자들이 특정 주식을 낮은 가격에 매수해 놓고, 해당 주식과 관련된 스팸메일을 대량으로 발송해 주식의 가격이 상승하면 매도함으로써 차익을 얻는 방법을 뜻한다.
Necurs 봇넷은 수백만대의 좀비 PC로 이루어져 있을 것으로 추정되며, 이 봇넷은 몇년 동안 줄곧 "pump-and-dump"활동을 진행해 왔다. 하지만 이 밖에도 Necurs는 Dridex 악성코드나 기타 랜섬웨어들도 유포한 바 있다.
그리고 최근 보안연구원들은 Necurs가 저렴한 주식을 판매하던 이전과는 다르게, 암호화폐를 광고하고 있는 것으로 확인됐다. 이는 Necurs의 봇넷을 이용해 유포하는 최초의 가상화폐이기도 하다.
해외 보고서에 따르면, Swisscoin은 스캠코인으로 추정되어 최근 거래가 중단되기도 했다. 하지만 2018년 1월 15일, 다시 거래가 정상적으로 재개되었으며, Necurs 스팸활동 역시 그날부터 시작되었다. 더 중요한 것은, 이 스팸메일 활동이 시작된 후 Swisscoin의 가격이 초반 가격보다 40% 떨어졌다.
하지만 연구원들은 현재까지 Necurs가 Swisscoin 가격에 어떠한 영향을 미치는지 확인하지 못했으며, 이전에 유사한 악성행위가 없어서 비교도 할 수가 없다.
Necurs는 매년 12월부터 그 다음해 1월까지 휴식기를 가지며, 그 후 새로운 형태의 스팸메일로 활동을 재개한다. [정보출처. 이스트시큐리티]
★정보보안 대표 미디어 데일리시큐!★
