Os indivíduos ameaçadores persistentes por trás do malware de roubo de informações SolarMarker estabeleceram uma infraestrutura em vários níveis para complicar os esforços de derrubada da aplicação por parte das autoridades policiais, novas descobertas da Recorded Future mostram.
“O núcleo das operações do SolarMarker é sua infraestrutura em camadas, que consiste em pelo menos dois clusters: um primário para operações ativas e um secundário provavelmente usado para testar novas estratégias ou visar regiões ou indústrias específicas”, disse a empresa em um relatório publicado na semana passada.
“Essa separação aumenta a capacidade do malware de se adaptar e responder a contra-medidas, tornando-o particularmente difícil de erradicar.”
O SolarMarker, conhecido pelos nomes Deimos, Jupyter Infostealer, Polazert e Yellow Cockatoo, é uma ameaça sofisticada que tem exibido uma evolução contínua desde sua criação em setembro de 2020. Ele tem a capacidade de roubar dados de vários navegadores da web e carteiras de criptomoedas, bem como visar configurações VPN e RDP.
Entre os principais setores visados estão a educação, governo, saúde, hotelaria e pequenas e médias empresas, de acordo com dados coletados desde setembro de 2023. Isso inclui universidades de destaque, departamentos de governo, redes hoteleiras globais e provedores de serviços de saúde. A maioria das vítimas está localizada nos EUA.
Ao longo dos anos, os autores do malware têm concentrado seus esforços de desenvolvimento em torná-lo mais furtivo através do aumento dos tamanhos de payload, o uso de certificados Autênticos válidos, novas alterações no Registro do Windows e a capacidade de executá-lo diretamente da memória em vez do disco.
Os caminhos típicos de infecção envolvem hospedagem do SolarMarker em sites de download falsos que anunciam software popular que pode ser visitado inadvertidamente por uma vítima ou devido a envenenamento de SEO, ou via link em um e-mail malicioso.
Os mantenedores iniciais assumem a forma de arquivos executáveis (EXE) e Instalador de Software da Microsoft (MSI) que, quando lançados, levam à implantação de um backdoor baseado em .NET responsável por baixar cargas adicionais para facilitar o roubo de informações.
Sequências alternativas alavancam instaladores falsos para soltar um aplicativo legítimo (ou um arquivo de fachada), enquanto lançam simultaneamente um carregador PowerShell para entregar e executar o backdoor do SolarMarker na memória.
Os ataques do SolarMarker ao longo do ano passado também envolveram a entrega de um backdoor hVNC baseado em Delphi chamado SolarPhantom que permite controlar remotamente uma máquina vítima sem o seu conhecimento.
“Há evidências que sugerem que o SolarMarker é o trabalho de um ator solitário de procedência desconhecida, embora pesquisas anteriores da Morphisec tenham insinuado uma possível conexão russa.”
