SolarMarker Malware Evolui Para Resistir Tentativas de Derrubada Com Infraestrutura de Vários Níveis – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

Os responsáveis pelo malware de roubo de informações SolarMarker estabeleceram uma infraestrutura de várias camadas para complicar os esforços de eliminação por parte das autoridades, conforme novas descobertas da Recorded Future mostram.

O SolarMarker, conhecido pelos nomes Deimos, Jupyter Infostealer, Polazert e Yellow Cockatoo, é uma ameaça sofisticada que tem evoluído continuamente desde sua aparição em setembro de 2020. Ele possui a capacidade de roubar dados de vários navegadores da web e carteiras de criptomoedas, além de visar configurações de VPN e RDP.

Dentre os principais setores visados estão a educação, governo, saúde, hotelaria e pequenas e médias empresas, de acordo com dados coletados desde setembro de 2023. Isso inclui universidades proeminentes, departamentos governamentais, redes globais de hotéis e prestadores de serviços de saúde. A maioria das vítimas está localizada nos EUA.

Ao longo dos anos, os desenvolvedores do malware focaram seus esforços de desenvolvimento em torná-lo mais furtivo através do aumento do tamanho dos payloads, do uso de certificados válidos Authenticode, de novas alterações de Registro do Windows e da capacidade de executá-lo diretamente da memória em vez do disco.

As vias de infecção geralmente envolvem hospedar o SolarMarker em sites de download falsos que anunciam software popular, podendo ser visitados por uma vítima inadvertidamente ou devido a envenenamento de SEO, ou através de um link em um e-mail malicioso.

Os ataques do SolarMarker no último ano também envolveram a entrega de um backdoor hVNC baseado em Delphi chamado SolarPhantom, que permite controlar remotamente uma máquina vítima sem o seu conhecimento.

Há evidências que sugerem que o SolarMarker é obra de um ator solitário de procedência desconhecida, embora pesquisas anteriores da Morphisec tenham insinuado uma possível conexão russa.

A investigação da Recorded Future nas configurações do servidor ligadas aos servidores de comando e controle (C2) descobriu uma arquitetura de várias camadas que faz parte de dois amplos clusters, um dos quais provavelmente é usado para fins de teste ou para visar regiões ou setores específicos.

Você também pode gostar

Reescreva o título em português (exceto marcas), com todas as palavras começando com maiúscula e sem ponto final: SolarWinds Corrige 8 Vulnerabilidades Críticas no Software Gerenciador de Direitos de Acesso

Como Hackers Se Misturam Tão Bem? Aprenda Seus Truques Neste Webinar Especial

O Poder do Marketing Digital Na Era Moderna