Marap恶意软件一种新的模块化下载程序

  • A+
所属分类:网络安全新闻
阿里代金券


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

研究人员发现了一种新的模块化下载程序,被追踪为Marap恶意软件,正在用于针对金融机构的大型活动中。
Proofpoint的研究人员在针对金融机构的大型活动中发现了一个新的模块化下载器,专家认为恶意代码可用于在未来的攻击中提供额外的恶意软件。

8月初,Proofpoint报告了几个大型电子邮件活动,这些活动提供了数百万条消息,旨在传播模块化的Marap恶意软件。Marap恶意软件的模块化结构允许攻击者添加新的攻击功能并在受感染的系统中提供额外的负载。

“Proofpoint的研究人员最近发现了一个新的下载程序恶意软件,它主要面向金融机构的大型活动(数百万条消息)。这种被称为“Marap”(“param”向后)的恶意软件以其专注的功能而着称,包括下载其他模块和有效载荷的功能。“阅读Proofpoint发布的分析。

“模块化特性允许演员在可用时添加新功能或在感染后下载其他模块。到目前为止,我们已经观察到它下载了一个执行简单侦察的系统指纹识别模块。“

这些活动与被追踪为TA505的网络犯罪团伙的攻击有许多相似之处 。垃圾邮件使用不同的附件来传播恶意软件,包括Microsoft Excel Web查询文件,包含查询文件的受密码保护的ZIP文件,包含嵌入查询文件的PDF以及包含宏的Word文档。

Marap名称来自其命令和控制(C&C)电话主页参数“param”向后拼写,它用C语言编写并实现了一些值得注意的反分析功能。

反分析功能包括:

大多数Windows API函数调用在运行时使用散列算法解析,在Marap中,此算法似乎是自定义的。
在重要功能的开头使用时序检查,可以避免恶意软件的调试和沙箱。如果计算的睡眠时间太短,则恶意软件退出。
字符串混淆。
反分析检查,将系统的MAC地址与虚拟机供应商列表进行比较。如果检测到虚拟机并且设置了配置标志,则恶意软件可能会退出。

 

Marap恶意软件一种新的模块化下载程序

 

Marap使用HTTP进行C&C通信,但专家注意到它尝试了许多合法的WinHTTP函数来确定它是否需要使用代理,如果是,则使用什么代理

“随着防御变得越来越擅长捕获商品恶意软件,威胁行为者和恶意软件作者继续探索新的方法来提高效率,减少他们分发的恶意软件的占地面积和固有的”噪音“,Proofpoint总结道。

“这个新的下载程序,以及我们将在下周详细介绍的另一个类似但不相关的恶意软件,指出了小型多功能恶意软件的发展趋势,这些恶意软件可以让参与者灵活地发起未来的攻击,并确定可能导致更严重妥协的感兴趣系统“。

专家观察到恶意软件从“hxxp://89.223.92 [。] 202 / mo.enc”下载的系统指纹识别模块,其内部名称为“mod_Init.dll”。

该模块是一个用C编写的DLL,它将以下系统信息收集到C&C服务器:

用户名
域名
主机名
IP地址
语言
国家
Windows版本
Microsoft Outlook .ost文件列表
检测到防病毒软件

CE安全网

发表评论

您必须登录才能发表评论!