Os responsáveis pelo malware de roubo de informações SolarMarker estabeleceram uma infraestrutura em vários níveis para complicar os esforços de derrubar a aplicação por parte das autoridades policiais, de acordo com novas descobertas da Recorded Future.
“A base das operações do SolarMarker é sua infraestrutura em camadas, que consiste em pelo menos dois clusters: um principal para operações ativas e um secundário provavelmente usado para testar novas estratégias ou mirar em regiões ou setores específicos”, disse a empresa em um relatório publicado na semana passada.
Essa separação aumenta a capacidade do malware de se adaptar e responder às contramedidas, tornando-o particularmente difícil de erradicar.
O SolarMarker, conhecido pelos nomes Deimos, Jupyter Infostealer, Polazert e Yellow Cockatoo, é uma ameaça sofisticada que tem exibido uma evolução contínua desde o seu surgimento em setembro de 2020. Tem a capacidade de roubar dados de vários navegadores da web e carteiras de criptomoedas, além de mirar em configurações de VPN e RDP.
Entre os setores mais visados estão educação, governo, saúde, hospitalidade e pequenas e médias empresas, de acordo com dados coletados desde setembro de 2023. Isso inclui universidades de destaque, departamentos governamentais, cadeias hoteleiras globais e provedores de saúde. A maioria das vítimas está localizada nos EUA.
Ao longo dos anos, os autores do malware têm concentrado seus esforços de desenvolvimento em torná-lo mais furtivo através de tamanhos de carga útil maiores, do uso de certificados Authenticode válidos, de mudanças inovadoras no Registro do Windows e da capacidade de executá-lo diretamente da memória em vez do disco.
As vias de infecção tipicamente envolvem hospedar o SolarMarker em sites de downloads falsos que anunciam software popular, que pode ser visitado inadvertidamente por uma vítima ou devido a envenenamento de otimização de mecanismo de busca (SEO), ou através de um link em um e-mail malicioso.
Os droppers iniciais assumem a forma de arquivos executáveis (EXE) e instaladores de software da Microsoft (MSI) que, quando lançados, levam à implantação de um backdoor baseado em .NET, responsável por baixar cargas adicionais para facilitar o roubo de informações.
Sequências alternativas usam instaladores falsos para deixar cair um aplicativo legítimo (ou um arquivo de isca), ao mesmo tempo em que lançam um carregador PowerShell para fornecer e executar o backdoor SolarMarker na memória.
Os ataques do SolarMarker ao longo do último ano também envolveram a entrega de um backdoor hVNC baseado em Delphi chamado SolarPhantom, que permite controlar remotamente uma máquina vítima sem o conhecimento dela.
“Em casos recentes, o ator de ameaça do SolarMarker tem alternado entre ferramentas Inno Setup e PS2EXE para gerar cargas”, observou a empresa de cibersegurança eSentire em fevereiro de 2024.
Recentemente, uma nova versão do malware baseado em PyInstaller foi identificada em circulação na natureza, propagada usando um manual de máquina de lavar louça como isca, de acordo com um pesquisador de malware conhecido como Squiblydoo, que documentou extensivamente o SolarMarker ao longo dos anos.
Há evidências sugerindo que o SolarMarker é obra de um ator solitário de procedência desconhecida, embora pesquisas anteriores da Morphisec tenham feito alusão a uma possível conexão russa.
A investigação da Recorded Future sobre as configurações do servidor ligadas aos servidores de comando e controle (C2) descobriu uma arquitetura em vários níveis que faz parte de dois clusters amplos, sendo que um deles provavelmente é usado para testes ou para mirar em regiões ou setores específicos.
