به گزارش
گرداب، بر اساس گزارش منتشر شده از Proofpoint، به تازگی حملات بدافزاری کشف شده است که در حال حاضر عملیات جاسوسی ساده را انجام میدهد و میتواند قابلیتهای اضافی را بر روی سیستم قربانی منتقل کند. پژوهشگران میگویند این بدافزار که Marap نام دارد، شباهتهایی با حملات انجام شده توسط عامل تهدید TA۵۰۵ دارد.
پژوهشگران Proofprint میگویند که در اوایل ماه جاری، میلیونها پیام در قالب حملات ایمیلی مخرب را مشاهده کردند. این ایمیلها حاوی انواع مختلف فایلهای پیوست مانند PDF و اسناد Word مجهز به بدافزار Marap هستند. برخی از اسناد فیشینگ از یک بانک شناخته شده در امریکا در ارتباطات جعلی خود نام میبرند.
تنها قابلیتی که تاکنون از Marap مشاهده شده است جمعآوری اطلاعات کلی سیستم آلوده از قبیل نامکاربری، نامهای دامنه، آدرسهای آیپی، کشور، نرمافزار آنتیویروس شناسایی شده و سایر دادهها است که این اطلاعات به سرور C&C ارسال میشوند.
قابلیت دیگر Marap دانلود ماژولها و بدنههای دیگر در سیستم آلوده است. طبق گزارشها، Marap از تکنیکهای متعددی برای جلوگیری از شناسایی استفاده میکند. این بدافزار با استفاده از API hashing، باعث میشود تا تحلیلگران مقاصد کدهای مخرب را متوجه نشوند. بدافزار همچنین آدرس MAC سیستم میزبان را بررسی میکند تا در صورت تشخیص ماشین مجازی، از آن خارج شود.
Proofpoint در نهایت اعلام کرد که حملات این بدافزار در حال حاضر تنها برای جمعآوری اطلاعات است و با توجه به قابلیت آن در انتقال بدنههای دیگر، احتمالا حملات دیگری از آن را شاهد خواهیم بود.
منبع:
افتا