Você está visualizando atualmente Malware SolarMarker Evolui para Resistir às Tentativas de Derrubada com Infraestrutura de Múltiplos Níveis

Malware SolarMarker Evolui para Resistir às Tentativas de Derrubada com Infraestrutura de Múltiplos Níveis

Os responsáveis pelo malware de roubo de informações SolarMarker estabeleceram uma infraestrutura em vários níveis para complicar os esforços de retirada pelas autoridades, mostram novas descobertas da Recorded Future.

“O núcleo das operações do SolarMarker é sua infraestrutura em camadas, que consiste em pelo menos dois clusters: um principal para operações ativas e um secundário provavelmente usado para testar novas estratégias ou mirar regiões ou indústrias específicas”, disse a empresa em um relatório publicado na semana passada.

Essa separação aumenta a capacidade do malware de se adaptar e responder a contramedidas, tornando-o particularmente difícil de erradicar.

O SolarMarker, conhecido pelos nomes Deimos, Jupyter Infostealer, Polazert e Yellow Cockatoo, é uma ameaça sofisticada que tem apresentado uma evolução contínua desde sua aparição em setembro de 2020. Ele tem a capacidade de roubar dados de vários navegadores da web e carteiras de criptomoedas, além de mirar em configurações de VPN e RDP.

Entre os principais setores visados estão educação, governo, saúde, hotelaria e pequenas e médias empresas, de acordo com dados coletados desde setembro de 2023. Isso inclui universidades proeminentes, departamentos governamentais, redes hoteleiras globais e prestadores de serviços de saúde. A maioria das vítimas está localizada nos EUA.

Ao longo dos anos, os autores de malware têm concentrado seus esforços de desenvolvimento em torná-lo mais furtivo por meio de tamanhos de payload maiores, uso de certificados Authenticode válidos, mudanças inovadoras no Registro do Windows e a capacidade de executá-lo diretamente da memória em vez do disco.

Os caminhos de infecção geralmente envolvem hospedar o SolarMarker em sites falsos de download, que anunciam software popular e podem ser visitados acidentalmente ou devido a envenenamento de mecanismos de busca (SEO) ou por meio de um link em um e-mail malicioso.

Os transportadores iniciais assumem a forma de arquivos executáveis (EXE) e instaladores de software da Microsoft (MSI) que, quando lançados, levam à implantação de um backdoor baseado em .NET que é responsável por baixar cargas adicionais para facilitar o roubo de informações.

Sequências alternativas utilizam instaladores falsificados para baixar um aplicativo legítimo (ou um arquivo de isca), lançando simultaneamente um carregador PowerShell para fornecer e executar o backdoor do SolarMarker na memória.

Os ataques do SolarMarker no ano passado também envolveram a entrega de um backdoor hVNC baseado em Delphi chamado SolarPhantom, que permite controlar remotamente uma máquina vítima sem o conhecimento dela.

“Atos recentes do ator de ameaça do SolarMarker alternaram entre ferramentas Inno Setup e PS2EXE para gerar cargas”, observou a empresa de cibersegurança eSentire em fevereiro de 2024.

Recentemente, uma nova versão PyInstaller do malware foi vista sendo propagada usando um manual de lava-louças como isca, segundo um pesquisador de malware conhecido como Squiblydoo, que documentou extensivamente o SolarMarker ao longo dos anos.

Há evidências que sugerem que o SolarMarker é obra de um único ator de origem desconhecida, embora pesquisas anteriores tenham aludido a uma possível conexão russa.

A investigação da Recorded Future nas configurações de servidor vinculadas aos servidores de comando e controle (C2) descobriu uma arquitetura em vários níveis que faz parte de dois clusters amplos, sendo que um deles provavelmente é usado para fins de teste ou para mirar regiões ou indústrias específicas.

A infraestrutura em camadas inclui um conjunto de servidores C2 de nível 1 que estão em contato direto com as máquinas vítimas. Esses servidores se conectam a um servidor C2 de nível 2 através da porta 443. Os servidores C2 de nível 2, da mesma forma, se comunicam com os servidores C2 de nível 3 via porta 443, e os servidores C2 de nível 3 se conectam consistentemente aos servidores C2 de nível 4 através da mesma porta.

“O servidor de nível 4 é considerado o servidor central da operação, presumivelmente usado para administrar de forma eficaz todos os servidores descendentes a longo prazo”, disse a empresa de cibersegurança, acrescentando que também observou o servidor C2 de nível 4 se comunicando com outro “servidor auxiliar” via porta 8033. Embora o objetivo preciso desse servidor permaneça desconhecido, especula-se que ele seja usado para monitoramento, possivelmente servindo como um servidor de verificação de integridade ou de backup.