Você está visualizando atualmente SolarMarker Malware Evolui Para Resistir a Tentativas de Bloqueio com Infraestrutura de Vários Níveis

SolarMarker Malware Evolui Para Resistir a Tentativas de Bloqueio com Infraestrutura de Vários Níveis

Os agentes ameaçadores persistentes por trás do malware de roubo de informações SolarMarker estabeleceram uma infraestrutura de vários níveis para complicar os esforços de derrubada por parte da aplicação da lei, novas descobertas do Recorded Future mostram.

“O núcleo das operações do SolarMarker é sua infraestrutura em camadas, que consiste em pelo menos dois clusters: um primário para operações ativas e um secundário provavelmente usado para testar novas estratégias ou visar regiões ou indústrias específicas”, disse a empresa em um relatório publicado na semana passada.

“Essa separação aumenta a capacidade do malware de se adaptar e responder às contramedidas, tornando-o particularmente difícil de erradicar.”

SolarMarker, também conhecido pelos nomes Deimos, Jupyter Infostealer, Polazert e Yellow Cockatoo, é uma ameaça sofisticada que tem mostrado uma evolução contínua desde sua aparição em setembro de 2020. Ele tem a capacidade de roubar dados de vários navegadores da web e carteiras de criptomoedas, bem como visar configurações de VPN e RDP.

Entre os principais setores visados estão educação, governo, saúde, hotelaria e pequenas e médias empresas, conforme os dados coletados desde setembro de 2023. Isso inclui universidades proeminentes, departamentos governamentais, cadeias de hotéis globais e provedores de saúde. A maioria das vítimas está nos EUA.

Ao longo dos anos, os autores do malware têm focado seus esforços de desenvolvimento em torná-lo mais furtivo através de tamanhos de carga útil maiores, uso de certificados Authenticode válidos, novas alterações no Registro do Windows e a capacidade de executá-lo diretamente da memória em vez do disco.

As vias de infecção geralmente envolvem hospedar o SolarMarker em sites de download falsos que anunciam software popular que pode ser visitado por uma vítima inadvertidamente ou devido a envenenamento de otimização de mecanismo de busca, ou por meio de um link em um email malicioso.

Os droppers iniciais assumem a forma de arquivos executáveis (EXE) e instaladores de software Microsoft (MSI) que, quando lançados, levam à implementação de um backdoor baseado em .NET que é responsável por baixar cargas úteis adicionais para facilitar o roubo de informações.

Sequências alternativas aproveitam os instaladores falsificados para baixar um aplicativo legítimo (ou um arquivo de engodo), ao mesmo tempo que lançam um carregador PowerShell para entregar e executar o backdoor SolarMarker na memória.

Os ataques do SolarMarker ao longo do último ano também envolveram a entrega de um backdoor baseado em Delphi chamado SolarPhantom, que permite controlar remotamente uma máquina vítima sem o conhecimento dela.

“Há evidências que sugerem que o SolarMarker é obra de um ator solitário de procedência desconhecida, embora pesquisas anteriores da Morphisec tenham aludido a uma possível conexão russa.”