Исследователи из Proofpoint обнаружили новый загрузчик Marap, активно распространяющийся через спам. Аналитики отмечают сходство вредоносной кампании с атаками ботнета Necurs.

Эксперты выделяют несколько вариантов вредоносных писем, доставляющих Marap жертве. Злоумышленники могут притворяться сотрудниками отдела продаж, представителями одного из крупных американских банков или случайно выбранной компании, а также администраторами сети.

Содержание сообщений может быть как очень лаконичным, так и довольно пространным. В частности, в некоторых письмах спамеры рассказывают о том, как отказаться от рассылки, или просят пользователя изменить настройки безопасности электронной почты, чтобы программа не заблокировала загрузку вредоносного файла.

В качестве вложения мошенники присылают преимущественно веб-запросы в формате .IQY, в том числе встроенные в PDF-документ или спрятанные в запароленном архиве. Файлы такого типа позволяют подгружать данные, например формулы Excel, из удаленного источника. В свою очередь, формулы могут не только производить расчеты, но и запускать команды оболочки. Подобный метод заражения компьютеров уже попадал в поле зрения специалистов в июне.

Помимо веб-запросов злоумышленники используют и более традиционные вложения. Так, в некоторых случаях в письме содержался документ Word с вредоносным макросом.

Сам Marap представляет собой загрузчик, написанный на языке C. В зловреде реализовано несколько тривиальных функций для затруднения обнаружения и анализа. В частности, программа хеширует обращения к Windows API. Таким способом киберпреступники часто скрывают истинные цели своих разработок.

Кроме того, код Marap обфусцирован, а сам зловред проводит простые тайминг-атаки, чтобы убедиться, что он не попал в песочницу. Для этого программа сравнивает время до и после выполнения функции sleep() и, если интервал слишком короткий, отключается. Также загрузчик сопоставляет MAC-адрес зараженного устройства со списком известных производителей виртуальных машин.

Убедившись, что он находится на настоящей системе, зловред связывается с командным сервером и передает ему единственный параметр param в зашифрованном виде. В нем содержится идентификатор бота, состоящий из хешей имени хоста, имени пользователя и MAC-адреса устройства. В ответ сервер присылает команду к загрузке вредоносных модулей, обновлению, удалению из системы или бездействию.

По словам исследователей, подобные загрузчики дают киберпреступникам возможность подготовиться к крупной кампании или определить интересующие их системы, чтобы в дальнейшем действовать более прицельно.

Также аналитики отмечают, что текущая спам-рассылка имеет много общего с известными атаками одного из крупнейших в мире ботнетов — Necurs. Ранее эта зомби-сеть доставляла на компьютеры жертв шифровальщики Locky и Scarab, продвигала сомнительную криптовалюту и заражала устройства одиноких мужчин.

Категории: Вредоносные программы