به گزارش گرداب، بر اساس گزارش منتشر شده از Proofpoint، به تازگی حملات بدافزاری کشف شده است که در حال حاضر عملیات جاسوسی ساده را انجام می‌دهد و می‌تواند قابلیت‌های اضافی را بر روی سیستم قربانی منتقل کند. پژوهشگران می‌گویند این بدافزار که Marap نام دارد، شباهت‌هایی با حملات انجام شده توسط عامل تهدید TA۵۰۵ دارد.

پژوهشگران Proofprint می‌گویند که در اوایل ماه جاری، میلیون‌ها پیام در قالب حملات ایمیلی مخرب را مشاهده کردند. این ایمیل‌ها حاوی انواع مختلف فایل‌های پیوست مانند PDF و اسناد Word مجهز به بدافزار Marap هستند. برخی از اسناد فیشینگ از یک بانک شناخته شده در امریکا در ارتباطات جعلی خود نام می‌برند.

تنها قابلیتی که تاکنون از Marap مشاهده شده است جمع‌آوری اطلاعات کلی سیستم آلوده از قبیل نام‌کاربری، نام‌های دامنه، آدرس‌های آی‌پی، کشور، نرم‌افزار آنتی‌ویروس شناسایی شده و سایر داده‌ها است که این اطلاعات به سرور C&C ارسال می‌شوند.

قابلیت دیگر Marap دانلود ماژول‌ها و بدنه‌های دیگر در سیستم آلوده است. طبق گزارش‌ها، Marap از تکنیک‌های متعددی برای جلوگیری از شناسایی استفاده می‌کند. این بدافزار با استفاده از API hashing، باعث می‌شود تا تحلیل‌گران مقاصد کدهای مخرب را متوجه نشوند. بدافزار همچنین آدرس MAC سیستم میزبان را بررسی می‌کند تا در صورت تشخیص ماشین مجازی، از آن خارج شود.

Proofpoint در نهایت اعلام کرد که حملات این بدافزار در حال حاضر تنها برای جمع‌آوری اطلاعات است و با توجه به قابلیت آن در انتقال بدنه‌های دیگر، احتمالا حملات دیگری از آن را شاهد خواهیم بود.