Новый загрузчик Marap распространяется через .IQY-запросы
Исследователи из Proofpoint обнаружили новый загрузчик Marap, активно распространяющийся через спам. Аналитики отмечают сходство вредоносной кампании с атаками ботнета Necurs.
Эксперты выделяют несколько вариантов вредоносных писем, доставляющих Marap жертве. Злоумышленники могут притворяться сотрудниками отдела продаж, представителями одного из крупных американских банков или случайно выбранной компании, а также администраторами сети.
Содержание сообщений может быть как очень лаконичным, так и довольно пространным. В частности, в некоторых письмах спамеры рассказывают о том, как отказаться от рассылки, или просят пользователя изменить настройки безопасности электронной почты, чтобы программа не заблокировала загрузку вредоносного файла.
В качестве вложения мошенники присылают преимущественно веб-запросы в формате .IQY, в том числе встроенные в PDF-документ или спрятанные в запароленном архиве. Файлы такого типа позволяют подгружать данные, например формулы Excel, из удаленного источника. В свою очередь, формулы могут не только производить расчеты, но и запускать команды оболочки. Подобный метод заражения компьютеров уже попадал в поле зрения специалистов в июне.
Помимо веб-запросов злоумышленники используют и более традиционные вложения. Так, в некоторых случаях в письме содержался документ Word с вредоносным макросом.
Сам Marap представляет собой загрузчик, написанный на языке C. В зловреде реализовано несколько тривиальных функций для затруднения обнаружения и анализа. В частности, программа хеширует обращения к Windows API. Таким способом киберпреступники часто скрывают истинные цели своих разработок.
Кроме того, код Marap обфусцирован, а сам зловред проводит простые тайминг-атаки, чтобы убедиться, что он не попал в песочницу. Для этого программа сравнивает время до и после выполнения функции sleep() и, если интервал слишком короткий, отключается. Также загрузчик сопоставляет MAC-адрес зараженного устройства со списком известных производителей виртуальных машин.
Убедившись, что он находится на настоящей системе, зловред связывается с командным сервером и передает ему единственный параметр param в зашифрованном виде. В нем содержится идентификатор бота, состоящий из хешей имени хоста, имени пользователя и MAC-адреса устройства. В ответ сервер присылает команду к загрузке вредоносных модулей, обновлению, удалению из системы или бездействию.
По словам исследователей, подобные загрузчики дают киберпреступникам возможность подготовиться к крупной кампании или определить интересующие их системы, чтобы в дальнейшем действовать более прицельно.
Источник: https://threatpost.ru/marap-downloader-distributed-through-iqy-queries/27777/