هشدار محققان درباره
محققان امنیتی شرکت پروفپوینت (Proofpoint)، بدافزار جدیدی با نام Marap شناسایی کردهاند که نوعی دانلودر محسوب میشود و بدافزارهای دیگر را دریافت و اجرا میکند.
این بدافزار پس از آلوده کردن دستگاههای قربانیان خود، اطلاعات دسترسی به دستگاههای آلوده را به سرورهای فرمان و کنترل (C&C) مهاجمان ارسال کرده و پس از آن، براساس فرامین و ماژولهای از پیش تعبیه شده، اقدام به دریافت بدافزارهای جدید میکند.
انتشار بدافزار Marap از طریق کمپینهای هرزنامه
به گفته محققان، در حال حاضر بدافزار Marap در مرحله رشد است و با کمک کمپینهای بدافزاری پایگاهی مبتنی بر کاربران آلوده ایجاد میکند. شرکت پروفپوینت امنیتی میگوید این کمپینهای بدافزاری وجه اشتراک زیادی با کمپینهای بدافزاری قبلی که توسط بازیگردانان TA505 راهاندازی شدهاند، دارد.
TA505 نامی است که پروفپوینت روی Necurs، بزرگترین باتنت هرزنامه بدافزاری دنیا گذاشته است. این باتنت در سالهای اخیر نیز در گسترش بعضی از بدافزارها از جمله تروجان بانکی Dridex و خانوادههای باجافزاری Locky و Jaff نقش مهمی داشته است.
این باتنت عظیم، از ابتدای سال جاری نسبتا آرام بوده و در بسیاری از کمپینهای بدافزاری، با ابعاد و دامنه کم، مشارکت داشته و بهتازگی توزیعهای گسترده خود را از سر گرفته است.
بر اساس گزارشهای منتشر شده درباره فعالیتهای باتنت Necurs، این باتنت در سال ۲۰۱۵ روی تروجان بانکی Dridex، در سال ۲۰۱۶ روی باجافزار Locky و در سال ۲۰۱۷ نیز روی هر دو باجافزار Locky و Jeff تمرکز داشته است.
بهصورت کلی، روند فعالیتهای این باتنت در ماههای اخیر به شرح زیر است:
- باجافزار Locky - سپتامبر و اکتبر ۲۰۱۷
- انتشار هدفمند باجافزار Locky براساس موقعیت جغرافیایی به همراه تروجان بانکی Trick - اکتبر ۲۰۱۷
- پیوستهای مخرب.vbs و .Ink در هرزنامهها - نوامبر ۲۰۱۷
- باجافزار GlobeImposter - دسامبر ۲۰۱۷
- کمتر شدن دامنه فعالیت کمپینها - ژانویه و فوریه ۲۰۱۸
- شروع مجدد انتشار گسترده - مارس ۲۰۱۸ تاکنون
به گفته محققان، ظهور بدافزار Marap اتفاق عجیب و غیرمنتظرهای نیست، زیرا در سالهای گذشته با از بین رفتن توزیع باجافزارها، بازیگردانان بدافزارها به توزیع تروجانهای بانکی یا توزیع تروجانهای استخراج ارز دیجیتالی با دانلودر بدافزارها روی آوردهاند.
توضیحات بیشتر در:
- Necurs Botnet Pushing New Marap Malware