Xakep #305. Многошаговые SQL-инъекции
Аналитики компании Proofpoint сообщают, что один из крупнейших ботнетов в мире, Necurs, начал распространять новую угрозу, но это не шифровальщик и не банковский троян.
Напомню, что Necurs – один крупнейших спамерских ботнетов мира, активный как минимум с 2012 года. В его состав входят миллионы зараженных хостов. В прошлые годы Necurs использовался для распространения таких известных вредоносов, как банковский троян Dridex, шифровальщики Locky, Scarab и Jaff.
Теперь специалисты Proofpoint заметили, что вместо уже привычной малвари Necurs распространяет нечто новое — дроппера Marap. Этот вредонос тщательно собирает информацию о зараженной системе и передает на управляющий сервер злоумышленников. Основываясь на собранных данных и инструкциях, получаемых затем от C&C-сервера, дроппер загружает на зараженную машину дополнительную малварь.
Исследователи пишут, что Marap, судя по всему, еще находится в разработке, обладает лишь базовыми функциями и пока, при помощи спама Necurs, набирает себе пул зараженных систем. По многим признакам кампания по распространению Marap схожа с другими кампаниями, которые эксперты приписывают объекту TA505. Этим идентификатором специалисты обозначают сам ботнет Necurs и операции его владельцев.
В настоящее время распространение Marap осуществляется с помощью разных спамерских техник. Так, злоумышленники используют для этих целей файлы IQY и PDF-документы со встроенными файлами IQY, защищенные паролем архивы ZIP и классические документы Word с вредоносными макросами.