هشدار محققان درباره

انتشار بدافزار جدید Marap توسط بات‌نت Necurs از طریق توزیع در کمپین‌های هرزنامه‌

پژوهشگران امنیتی به‌تازگی بدافزار جدیدی نام Marap کشف کرده‌اند که در حال حاضر با استفاده از بات‌نت Necurs، از طریق هرزنامه‌های حاوی فایل‌های مخرب توزیع می‌شود. این بدافزار پس از آلوده‌سازی دستگاه‌های کاربران اقدام به دانلود بدافزارهای دیگر می‌کند.

محققان امنیتی شرکت پروف‌پوینت (Proofpoint)، بدافزار جدیدی با نام Marap شناسایی کرده‌اند که نوعی دانلودر محسوب می‌شود و بدافزارهای دیگر را دریافت و اجرا می‌کند.

این بدافزار پس از آلوده کردن دستگاه‌های قربانیان خود، اطلاعات دسترسی به دستگاه‌های آلوده را به سرورهای فرمان و کنترل (C&C) مهاجمان ارسال کرده و پس از آن، براساس فرامین و ماژول‌های از پیش تعبیه شده، اقدام به دریافت بدافزارهای جدید می‌کند.

 

انتشار بدافزار Marap از طریق کمپین‌های هرزنامه

به گفته محققان، در حال حاضر بدافزار Marap در مرحله رشد است و با کمک کمپین‌های بدافزاری پایگاهی مبتنی بر کاربران آلوده ایجاد می‌کند. شرکت پروف‌پوینت امنیتی می‌گوید این کمپین‌های بدافزاری وجه اشتراک زیادی با کمپین‌های بدافزاری قبلی که توسط بازی‌گردانان TA505 راه‌اندازی شده‌اند، دارد.

TA505 نامی است که پروف‌پوینت روی Necurs، بزرگ‌ترین بات‌نت هرزنامه بدافزاری دنیا گذاشته است. این بات‌نت در سال‌های اخیر نیز در گسترش بعضی از بدافزارها از جمله تروجان بانکی Dridex و خانواده‌های باج‌افزاری Locky و Jaff نقش مهمی داشته است.

این بات‌نت عظیم، از ابتدای سال جاری نسبتا آرام بوده و در بسیاری از کمپین‌های بدافزاری، با ابعاد و دامنه کم، مشارکت داشته و به‌تازگی توزیع‌های گسترده خود را از سر گرفته است.

بر اساس گزارش‌های منتشر شده درباره فعالیت‌های بات‌نت Necurs، این بات‌نت در سال ۲۰۱۵ روی تروجان بانکی Dridex، در سال ۲۰۱۶ روی باج‌افزار Locky و در سال ۲۰۱۷ نیز روی هر دو باج‌افزار Locky و Jeff تمرکز داشته است.

به‌صورت کلی، روند فعالیت‌های این بات‌نت در ماه‌های اخیر به شرح زیر است:

  • باج‌افزار Locky - سپتامبر و اکتبر ۲۰۱۷
  • انتشار هدفمند باج‌افزار Locky براساس موقعیت جغرافیایی به همراه تروجان بانکی Trick - اکتبر ۲۰۱۷
  • پیوست‌های مخرب.vbs  و .Ink در هرزنامه‌ها - نوامبر ۲۰۱۷
  • باج‌افزار GlobeImposter - دسامبر ۲۰۱۷
  • کمتر شدن دامنه فعالیت کمپین‌ها - ژانویه و فوریه ۲۰۱۸
  • شروع مجدد انتشار گسترده - مارس ۲۰۱۸ تاکنون

 

به گفته محققان، ظهور بدافزار Marap اتفاق عجیب و غیرمنتظره‌ای نیست، زیرا در سال‌های گذشته با از بین رفتن توزیع باج‌افزارها، بازی‌گردانان بدافزارها به توزیع تروجان‌های بانکی یا توزیع تروجان‌های استخراج ارز دیجیتالی با دانلودر بدافزارها روی آورده‌اند.

 

 

توضیحات بیشتر در:

- Necurs Botnet Pushing New Marap Malware