Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Эксперты обнаружили спам-кампанию, похожую на атаки ботнета Necurs.
Исследователи из Proofpoint обнаружили новый загрузчик Marap, активно распространяющийся через спам. Аналитики отмечают сходство вредоносной кампании с атаками ботнета Necurs.
Эксперты выделяют несколько вариантов вредоносных писем, доставляющих Marap жертве. Злоумышленники могут притворяться сотрудниками отдела продаж, представителями одного из крупных американских банков или случайно выбранной компании, а также администраторами сети.
Содержание сообщений может быть как очень лаконичным, так и довольно пространным. В частности, в некоторых письмах спамеры рассказывают о том, как отказаться от рассылки, или просят пользователя изменить настройки безопасности электронной почты, чтобы программа не заблокировала загрузку вредоносного файла.
В качестве вложения мошенники присылают преимущественно веб-запросы в формате .IQY, в том числе встроенные в PDF-документ или спрятанные в запароленном архиве. Файлы такого типа позволяют подгружать данные, например формулы Excel, из удаленного источника. В свою очередь, формулы могут не только производить расчеты, но и запускать команды оболочки. Подобный метод заражения компьютеров уже попадал в поле зрения специалистов в июне.
Помимо веб-запросов злоумышленники используют и более традиционные вложения. Так, в некоторых случаях в письме содержался документ Word с вредоносным макросом.
Сам Marap представляет собой загрузчик, написанный на языке C. В зловреде реализовано несколько тривиальных функций для затруднения обнаружения и анализа. В частности, программа хеширует обращения к Windows API. Таким способом киберпреступники часто скрывают истинные цели своих разработок.
Кроме того, код Marap обфусцирован, а сам зловред проводит простые тайминг-атаки, чтобы убедиться, что он не попал в песочницу. Для этого программа сравнивает время до и после выполнения функции sleep() и, если интервал слишком короткий, отключается. Также загрузчик сопоставляет MAC-адрес зараженного устройства со списком известных производителей виртуальных машин.
Убедившись, что он находится на настоящей системе, зловред связывается с командным сервером и передает ему единственный параметр param в зашифрованном виде. В нем содержится идентификатор бота, состоящий из хешей имени хоста, имени пользователя и MAC-адреса устройства. В ответ сервер присылает команду к загрузке вредоносных модулей, обновлению, удалению из системы или бездействию.
По словам исследователей, подобные загрузчики дают киберпреступникам возможность подготовиться к крупной кампании или определить интересующие их системы, чтобы в дальнейшем действовать более прицельно.
Также аналитики отмечают, что текущая спам-рассылка имеет много общего с известными атаками одного из крупнейших в мире ботнетов — Necurs. Ранее эта зомби-сеть доставляла на компьютеры жертв шифровальщики Locky и Scarab, продвигала сомнительную криптовалюту и заражала устройства одиноких мужчин.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |