Botnet Necurs distribuye el malware Marap
Los investigadores de seguridad de Proofpoint han descubierto una nueva cepa de malware que denominaron Marap y que actualmente se distribuye a través de olas masivas de spam
El malware no es un troyano bancario, un troyano de acceso remoto (RAT) o ransomware, sino una descarga de malware (también conocido como cargador de malware o cuentagotas de malware).
Marap es una delgada cepa de malware que infecta a las víctimas, toma las huellas dactilares de sus sistemas y envía esta información a un servidor central de comando y control (C & C).
Basado en el perfil de la víctima, Marap luego descargará módulos específicos basados en las instrucciones que recibe del servidor de C & C y los autores del malware.
Actualmente, el malware se encuentra en una etapa de desarrollo, donde con la ayuda de las campañas de malspam, el malware está construyendo una base de usuarios infectados.
Proofpoint dice que estas campañas de publicidad compartida "compartieron muchas características con campañas anteriores atribuidas al actor TA505".
El actor TA505 es el nombre interno de Proofpoint para Necurs , el botnet de spam más grande del mundo, que en los últimos años ha estado detrás de campañas que distribuyen algunas de las amenazas de malware más extendidas, como el troyano bancario Dridex y las familias de Locky y Jaff ransomware.
Esta red de bots masiva ha estado relativamente tranquila desde el comienzo del año, participando en muchas campañas de bajo volumen de correo basura, y solo recientemente comenzó a regresar a los grandes empujes de distribución.
Según un informe anterior sobre las actividades de Necurs, la botnet se centró en distribuir el troyano bancario Dridex en 2015, el Locky ransomware en 2016, Jaff y Locky en 2017. En los últimos meses, estos han sido los patrones primarios de Necurs:
- Locky ransomware - septiembre / octubre 2017
- Geo-objetivo Locky y The Trick troyano bancario - Octubre de 2017
- Embedded adjuntos maliciosos .lnk y .vbs - Noviembre de 2017
- GlobeImposter ransomware - diciembre de 2017
- Cambio a campañas de bajo volumen - enero / febrero de 2018
- El lento retorno de Grandes campañas impulsadas por Necurs - desde marzo de 2018 hasta la actualidad
- Marap descargador aún en su infancia
En cuanto a las campañas de malspam que impulsan el nuevo descargador de Marap, Proofpoint dice que ha visto varias versiones. Los investigadores han visto campañas que aprovechan los archivos .IQY, los documentos PDF con archivos IQY integrados, los archivos ZIP protegidos con contraseña y los documentos clásicos de Word con macros incrustadas.
En cuanto a Marap, los investigadores también dijeron que el malware contiene características básicas para detectar máquinas virtuales utilizadas para el análisis de malware, pero no parecen tan complicadas como otras técnicas utilizadas por troyanos más establecidos.
La aparición de Marap no es una sorpresa. El año pasado, a medida que la distribución del ransomware se calmaba, los actores de amenazas maliciosas volvieron a distribuir troyanos bancarios o se dedicaron a la distribución de troyanos de minería criptográficos o descargadores de programas maliciosos.
Algunos de los descargadores más activos en la escena de malware hoy en día incluyen Emotet (un antiguo troyano bancario) , Smoke Loader y el recientemente lanzado Kardon Loader.