锁定金融领域的新恶意程式Marap现身

资安业者Proofpoint上周揭露了一款锁定金融领域的新恶意程式Marap，Marap为一恶意程式下载器，在成功进驻系统之后，可再自C&C服务器下载其它恶意模组，目前仅观察到它下载了系统指纹模组，主要搜集遭骇的系统资讯，研究人员相信这是为了日后的攻击作准备。

Proofpoint发现最近骇客针对金融机构所寄出的数百万垃圾讯息中夹杂了Marap，它主要寄生在Excel的网页查询档案格式.iqy，并借由电子邮件散布，不管是直接以.iqy档案作为附加档案，或是在ZIP压缩档案中暗藏.iqy档案，也会藏匿在PDF文件中，或是含有宏的Word文件。

以C语言撰写的Marap是一个可下载及安装各种模组的恶意程式下载器（Downloader），目前唯一出现的模组为系统指纹模组，能够搜集系统的使用者名称、网域名称、主机名称、IP地址、语言、国家、Outlook的.ost档案列表、Windows版本与所使用的防毒软件，并将它们传回至骇客所掌控的C&C服务器。

研究人员指出，Marap的模组化特性允许骇客日后替它增添新的功能，随着企业的防御变强了，骇客的攻击行动也更谨慎与周详，此外，今年以来勒索软件的散布大幅减少，金融木马、下载器与其它恶意程式即填补了这个空缺，提高了骇客在企业装置及网络上的长驻机会。