Você está visualizando atualmente Malware SolarMarker Evolui para Resistir a Tentativas de Derrubada com Infraestrutura de Vários Níveis

Malware SolarMarker Evolui para Resistir a Tentativas de Derrubada com Infraestrutura de Vários Níveis

Os responsáveis pelo malware de roubo de informações SolarMarker estabeleceram uma infraestrutura em vários níveis para complicar os esforços de repressão das autoridades, mostram novas descobertas da Recorded Future.

“A base das operações do SolarMarker é sua infraestrutura em camadas, que consiste em pelo menos dois clusters: um primário para operações ativas e um secundário provavelmente usado para testar novas estratégias ou visar regiões ou indústrias específicas”, disse a empresa em um relatório publicado na semana anterior.

O SolarMarker, conhecido pelos nomes Deimos, Jupyter Infostealer, Polazert e Yellow Cockatoo, é uma ameaça sofisticada que tem apresentado uma evolução contínua desde sua aparição em setembro de 2020. Ele tem a capacidade de roubar dados de diversos navegadores da web e carteiras de criptomoedas, além de visar configurações VPN e RDP.

Entre os principais setores visados estão educação, governo, saúde, hotelaria e pequenas e médias empresas, de acordo com dados coletados desde setembro de 2023. Isso inclui universidades renomadas, departamentos do governo, redes de hotéis globais e provedores de saúde. A maioria das vítimas está localizada nos EUA.

Ao longo dos anos, os autores do malware têm focado seus esforços de desenvolvimento em torná-lo mais furtivo através do aumento dos tamanhos de carga útil, uso de certificados Authenticode válidos, alterações novas no Registro do Windows e a capacidade de executá-lo diretamente da memória em vez do disco.

Os caminhos de infecção geralmente envolvem hospedar o SolarMarker em sites de download falsos que anunciam software popular, que podem ser visitados por uma vítima inadvertidamente ou devido a envenenamento por otimização de mecanismo de pesquisa (SEO), ou por meio de um link em um e-mail malicioso.

Os inicializadores iniciais tomam a forma de arquivos executáveis (EXE) e arquivos do Instalador de Software da Microsoft (MSI) que, quando lançados, levam à implantação de um backdoor baseado em .NET responsável por baixar cargas úteis adicionais para facilitar o roubo de informações.

Sequências alternativas utilizam instaladores falsos para baixar um aplicativo legítimo (ou um arquivo de engodo), ao mesmo tempo que lançam um carregador do PowerShell para a entrega e execução do backdoor do SolarMarker na memória.

Os ataques do SolarMarker ao longo do último ano também envolveram a entrega de um backdoor de hVNC baseado em Delphi chamado SolarPhantom, que permite controlar remotamente uma máquina da vítima sem seu conhecimento.

Há evidências que sugerem que o SolarMarker é obra de um único ator de procedência desconhecida, embora pesquisas anteriores da Morphisec tenham indicado uma possível conexão russa.

A investigação da Recorded Future nas configurações de servidores vinculados aos servidores de comando e controle (C2) descobriu uma arquitetura em vários níveis que faz parte de dois clusters amplos, sendo um provavelmente usado para testes ou para visar regiões ou indústrias específicas.

A infraestrutura em camadas inclui um conjunto de servidores C2 de Nível 1 que estão em contato direto com as máquinas das vítimas. Esses servidores se conectam a um servidor C2 de Nível 2 via porta 443. Os servidores C2 de Nível 2, de maneira semelhante, se comunicam com os servidores C2 de Nível 3 através da porta 443, e os servidores C2 de Nível 3 se conectam consistentemente aos servidores C2 de Nível 4 também pela mesma porta.

O servidor de Nível 4 é considerado o servidor central da operação, presumivelmente usado para administrar efetivamente todos os servidores downstream a longo prazo, disse a empresa de cibersegurança, acrescentando que também observou o servidor C2 de Nível 4 se comunicando com outro “servidor auxiliar” via porta 8033.