کمیته رکن چهارم – Marap بدافزار جدیدی است که موسسات مالی را هدف قرار داده و قابلیت دانلود بدافزارها و کدهای بدخواه دیگری بر روی سیستم قربانیان دارد.
بدافزار Marap از شیوه جدیدی برای رساندن خود به سیستمهای قربانیان استفاده میکند و بر خلاف بدافزارهای پیشین که به طور عمده از فایلهای ورد برای انتشار خود استفاده میکردند، از طریق فایلهای از نوع iqy خود را منتشر میکند.
فایلهای iqy فایلهای متنی سادهای هستند که به طور پیش فرض با استفاده از برنامه اکسل باز میشوند و برای دانلود داده از اینترنت استفاده میشوند. در واقع باز کردن فایلهای iqy مشابه داشتن یک مرورگر وب درون اکسل است. فایلهای iqy مورد استفاده توسط این بدافزار در فایلهای زیپ، pdf و وُرد جایگذاری شده و از این طریق به سیستم قربانیان میرسند.
محققان در تاریخ ۱۰ آگوست ۲۰۱۸، کمپینهای بسیار بزرگی شناسایی کردند که میلیونها پیام ایمیل محتوی بدافزار Marap را ارسال نمودهاند. مشخصات ایمیلهای کشف شده این کمپینها در جدول زیر نمایش داده شده است:
این بدافزار برای مبهمسازی کد خود از شیوه کدگذاری XOR استفاده کرده است. بدافزار پس از اجرا شدن بر روی سیستم، از طریق پروتکل HTTP با سرور فرماندهی و کنترل خود ارتباط برقرار میکند.
دادههای ارسالی از این طریق با استفاده از الگوریتم DES در مُد CBC رمزگذاری میشود. مشاهدات محققین حاکی از آن است که پس از ارتباط با سرور فرماندهی و کنترل، ماژولی از آدرس hxxp://89.223.92[.]202/mo.enc دانلود میشود که پس از دریافت اطلاعات زیر از سیستم قربانی آنها را برای سرور فرماندهی و کنترل ارسال میکند.
Username
Domain name
Hostname
IP address
Language
Country
Windows version
List of Microsoft Outlook .ost files
Anti-virus software detected
محقققین معتقدند که این بدافزار و سایر بدافزارهای مشابه که در زمانهای نزدیک به همی در حال فعالیت بودهاند، بدافزارهای کوچک و متنوعی هستند که راه را برای انجام حملات آتی مهاجمین هموار میکنند.