鎖定金融領域的新惡意程式Marap現身

資安業者Proofpoint上周揭露了一款鎖定金融領域的新惡意程式Marap，Marap為一惡意程式下載器，在成功進駐系統之後，可再自C&C伺服器下載其它惡意模組，目前僅觀察到它下載了系統指紋模組，主要蒐集遭駭的系統資訊，研究人員相信這是為了日後的攻擊作準備。

Proofpoint發現最近駭客針對金融機構所寄出的數百萬垃圾訊息中夾雜了Marap，它主要寄生在Excel的網頁查詢檔案格式.iqy，並藉由電子郵件散布，不管是直接以.iqy檔案作為附加檔案，或是在ZIP壓縮檔案中暗藏.iqy檔案，也會藏匿在PDF文件中，或是含有巨集的Word文件。

以C語言撰寫的Marap是一個可下載及安裝各種模組的惡意程式下載器（Downloader），目前唯一出現的模組為系統指紋模組，能夠蒐集系統的使用者名稱、網域名稱、主機名稱、IP位址、語言、國家、Outlook的.ost檔案列表、Windows版本與所使用的防毒軟體，並將它們傳回至駭客所掌控的C&C伺服器。

研究人員指出，Marap的模組化特性允許駭客日後替它增添新的功能，隨著企業的防禦變強了，駭客的攻擊行動也更謹慎與周詳，此外，今年以來勒索軟體的散布大幅減少，金融木馬、下載器與其它惡意程式即填補了這個空缺，提高了駭客在企業裝置及網路上的長駐機會。