资安业者Proofpoint上周揭露了一款锁定金融领域的新恶意软件Marap,Marap为一恶意软件下载器,在成功进驻系统之后,可再自C&C服务器下载其它恶意模块,目前仅观察到它下载了系统指纹模块,主要搜集遭骇的系统信息,研究人员相信这是为了日后的攻击作准备。
Proofpoint发现最近黑客针对金融机构所寄出的数百万垃圾讯息中夹杂了Marap,它主要寄生在Excel的网页查询文件格式.iqy,并藉由电子邮件散布,不管是直接以.iqy档案作为附加档案,或是在ZIP压缩文件案中暗藏.iqy档案,也会藏匿在PDF文件中,或是含有宏的Word文件。以C语言撰写的Marap是一个可下载及安装各种模块的恶意软件下载器(Downloader),目前唯一出现的模块为系统指纹模块,能够搜集系统的用户名称、域名、主机名、IP地址、语言、国家、Outlook的.ost档案列表、Windows版本与所使用的防病毒软件,并将它们传回至黑客所掌控的C&C服务器。
研究人员指出,Marap的模块化特性允许黑客日后替它增添新的功能,随着企业的防御变强了,黑客的攻击行动也更谨慎与周详,此外,今年以来勒索软件的散布大幅减少,金融木马、下载器与其它恶意软件即填补了这个空缺,提高了黑客在企业装置及网络上的长驻机会。