به گزارش خبرنگار حوزه اخبار داغ گروه فضای مجازی باشگاه خبرنگاران جوان؛ ‫Marap بدافزار جدیدی است که موسسات مالی را هدف قرار داده و قابلیت دانلود بدافزارها و کدهای بدخواه دیگری بر روی سیستم قربانیان دارد. این بدافزار از شیوه جدیدی برای رساندن خود به سیستم‌های قربانیان استفاده می‌کند و بر خلاف بدافزارهای پیشین که به طور عمده از فایل‌های ورد برای انتشار خود استفاده می‌کردند، از طریق فایل‌های از نوع iqy خود را منتشر می‌کند.

فایل‌های iqy فایل‌های متنی ساده‌ای هستند که به طور پیش فرض با استفاده از برنامه اکسل باز می‌شوند و برای دانلود داده از اینترنت استفاده می‌شوند. در واقع باز کردن فایل‌های iqy مشابه داشتن یک مرورگر وب درون اکسل است. فایل‌های iqy مورد استفاده توسط این بدافزار در فایل‌های زیپ، pdf و وُرد جایگذاری شده و از این طریق به سیستم قربانیان می‌رسند.

محققان در تاریخ 10 آگوست 2018، کمپین‌های بسیار بزرگی شناسایی کردند که میلیون‌ها پیام ایمیل محتوی بدافزار Marap را ارسال نموده‌اند. مشخصات ایمیل‌های کشف شده این کمپین‌ها در جدول زیر نمایش داده شده است:

ابن بدافزار برای مبهم‌سازی کد خود از شیوه کدگذاری XOR استفاده کرده است. بدافزار پس از اجرا شدن بر روی سیستم، از طریق پروتکل HTTP با سرور فرماندهی و کنترل خود ارتباط برقرار می‌کند.

داده‌های ارسالی از این طریق با استفاده از الگوریتم DES در مُد CBC رمزگذاری می‌شود. مشاهدات محققین حاکی از آن است که پس از ارتباط با سرور فرماندهی و کنترل، ماژولی از آدرس hxxp://89.223.92[.]202/mo.enc دانلود می‌شود که پس از دریافت اطلاعات زیر از سیستم قربانی آن‌ها را برای سرور فرماندهی و کنترل ارسال می‌کند.
Username
Domain name
Hostname
IP address
Language
Country
Windows version
List of Microsoft Outlook .ost files
Anti-virus software detected

محققین معتقدند که این بدافزار و سایر بدافزارهای مشابه که در زمان‌های نزدیک به همی در حال فعالیت بوده‌اند، بدافزارهای کوچک و متنوعی هستند که راه را برای انجام حملات آتی مهاجمین هموار می‌کنند.

انتهای پیام/