Marap透過惡意電子郵件散佈。

圖片來源: 

Proofpoint

資安業者Proofpoint上周揭露了一款鎖定金融領域的新惡意程式Marap,Marap為一惡意程式下載器,在成功進駐系統之後,可再自C&C伺服器下載其它惡意模組,目前僅觀察到它下載了系統指紋模組,主要蒐集遭駭的系統資訊,研究人員相信這是為了日後的攻擊作準備。

Proofpoint發現最近駭客針對金融機構所寄出的數百萬垃圾訊息中夾雜了Marap,它主要寄生在Excel的網頁查詢檔案格式.iqy,並藉由電子郵件散布,不管是直接以.iqy檔案作為附加檔案,或是在ZIP壓縮檔案中暗藏.iqy檔案,也會藏匿在PDF文件中,或是含有巨集的Word文件。

以C語言撰寫的Marap是一個可下載及安裝各種模組的惡意程式下載器(Downloader),目前唯一出現的模組為系統指紋模組,能夠蒐集系統的使用者名稱、網域名稱、主機名稱、IP位址、語言、國家、Outlook的.ost檔案列表、Windows版本與所使用的防毒軟體,並將它們傳回至駭客所掌控的C&C伺服器。

研究人員指出,Marap的模組化特性允許駭客日後替它增添新的功能,隨著企業的防禦變強了,駭客的攻擊行動也更謹慎與周詳,此外,今年以來勒索軟體的散布大幅減少,金融木馬、下載器與其它惡意程式即填補了這個空缺,提高了駭客在企業裝置及網路上的長駐機會。


Advertisement

更多 iThome相關內容