بدافزاری به نام MARAP

کمیته رکن چهارم – ‫Marap بدافزار جدیدی است که موسسات مالی را هدف قرار داده و قابلیت دانلود بدافزارها و کدهای بدخواه دیگری بر روی سیستم قربانیان دارد.

بدافزار ‫Marap از شیوه جدیدی برای رساندن خود به سیستم‌های قربانیان استفاده می‌کند و بر خلاف بدافزارهای پیشین که به طور عمده از فایل‌های ورد برای انتشار خود استفاده می‌کردند، از طریق فایل‌های از نوع iqy خود را منتشر می‌کند.

فایل‌های iqy فایل‌های متنی ساده‌ای هستند که به طور پیش فرض با استفاده از برنامه اکسل باز می‌شوند و برای دانلود داده از اینترنت استفاده می‌شوند. در واقع باز کردن فایل‌های iqy مشابه داشتن یک مرورگر وب درون اکسل است. فایل‌های iqy مورد استفاده توسط این بدافزار در فایل‌های زیپ، pdf و وُرد جایگذاری شده و از این طریق به سیستم قربانیان می‌رسند.

محققان در تاریخ ۱۰ آگوست ۲۰۱۸، کمپین‌های بسیار بزرگی شناسایی کردند که میلیون‌ها پیام ایمیل محتوی بدافزار Marap را ارسال نموده‌اند. مشخصات ایمیل‌های کشف شده این کمپین‌ها در جدول زیر نمایش داده شده است:

 بدافزاری به نام MARAP

این بدافزار برای مبهم‌سازی کد خود از شیوه کدگذاری XOR استفاده کرده است. بدافزار پس از اجرا شدن بر روی سیستم، از طریق پروتکل HTTP با سرور فرماندهی و کنترل خود ارتباط برقرار می‌کند.

داده‌های ارسالی از این طریق با استفاده از الگوریتم DES در مُد CBC رمزگذاری می‌شود. مشاهدات محققین حاکی از آن است که پس از ارتباط با سرور فرماندهی و کنترل، ماژولی از آدرس hxxp://89.223.92[.]202/mo.enc دانلود می‌شود که پس از دریافت اطلاعات زیر از سیستم قربانی آن‌ها را برای سرور فرماندهی و کنترل ارسال می‌کند.
Username
Domain name
Hostname
IP address
Language
Country
Windows version
List of Microsoft Outlook .ost files
Anti-virus software detected

محقققین معتقدند که این بدافزار و سایر بدافزارهای مشابه که در زمان‌های نزدیک به همی در حال فعالیت بوده‌اند، بدافزارهای کوچک و متنوعی هستند که راه را برای انجام حملات آتی مهاجمین هموار می‌کنند.

 

منبع: ماهر

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Blue Captcha Characters Below.