Você está visualizando atualmente SolarMarker Malware Evolui Para Resistir A Tentativas De Derrubada Com Infraestrutura De Vários Níveis

SolarMarker Malware Evolui Para Resistir A Tentativas De Derrubada Com Infraestrutura De Vários Níveis

Os responsáveis pela ameaça persistente do malware de roubo de informações SolarMarker estabeleceram uma infraestrutura em vários níveis para complicar os esforços de repressão das autoridades, revelam novas descobertas da Recorded Future.

“O núcleo das operações do SolarMarker é a sua infraestrutura em camadas, que consiste em pelo menos dois clusters: um principal para operações ativas e um secundário provavelmente utilizado para testar novas estratégias ou visar regiões ou setores específicos”, afirmou a empresa em um relatório publicado na semana passada.

“Essa separação aumenta a capacidade do malware de se adaptar e responder às contramedidas, tornando-o particularmente difícil de erradicar.”

O SolarMarker, conhecido pelos nomes Deimos, Jupyter Infostealer, Polazert e Yellow Cockatoo, é uma ameaça sofisticada que tem demonstrado uma evolução contínua desde a sua aparição em setembro de 2020. Ele tem a capacidade de roubar dados de vários navegadores da web e carteiras de criptomoedas, bem como visar configurações VPN e RDP.

Entre os principais setores visados estão educação, governo, saúde, hospitalidade e pequenas e médias empresas, de acordo com dados coletados desde setembro de 2023. Isso inclui universidades renomadas, departamentos do governo, redes hoteleiras globais e prestadores de serviços de saúde. A maioria das vítimas está localizada nos EUA.

Ao longo dos anos, os autores do malware têm se concentrado em torná-lo mais furtivo através do aumento do tamanho dos payloads, do uso de certificados Authenticode válidos, de mudanças inovadoras no Registro do Windows e da capacidade de executá-lo diretamente da memória em vez do disco.

As vias de infecção geralmente envolvem hospedar o SolarMarker em sites de download falsos que anunciam software popular e que podem ser visitados por uma vítima inadvertidamente ou devido a envenenamento de mecanismos de busca (SEO), ou através de um link em um e-mail malicioso.

Os instaladores iniciais se apresentam na forma de arquivos executáveis (EXE) e de Instalador de Software da Microsoft (MSI) que, quando iniciados, levam à implantação de um backdoor baseado em .NET que é responsável por baixar cargas adicionais para facilitar o roubo de informações.

Sequências alternativas empregam os instaladores falsos para baixar um aplicativo legítimo (ou um arquivo fantoche), ao mesmo tempo em que lançam um carregador do PowerShell para fornecer e executar o backdoor do SolarMarker na memória.

Os ataques do SolarMarker ao longo do último ano também envolveram a entrega de um backdoor hVNC baseado em Delphi chamado SolarPhantom que permite controlar remotamente uma máquina da vítima sem o conhecimento dela.

“Em casos recentes, o ator de ameaça do SolarMarker tem alternado entre as ferramentas Inno Setup e PS2EXE para gerar payloads”, observou a empresa de cibersegurança eSentire em fevereiro de 2024.

Tão recentemente quanto dois meses atrás, uma nova versão do PyInstaller do malware foi avistada na natureza propagada usando um manual de lava-louças como fachada, de acordo com um pesquisador de malware conhecido como Squiblydoo, que documentou extensivamente o SolarMarker ao longo dos anos.

Há indícios de que o SolarMarker é obra de um ator solitário de procedência desconhecida, embora pesquisas anteriores da Morphisec tenham aludido a uma possível conexão russa.

A investigação da Recorded Future nas configurações do servidor ligadas aos servidores de comando e controle (C2) descobriu uma arquitetura em vários níveis que faz parte de dois amplos clusters, sendo que um deles é provavelmente usado para fins de teste ou para visar regiões ou setores específicos.

A infraestrutura em camadas inclui um conjunto de servidores C2 de Nível 1 que estão em contato direto com as máquinas das vítimas. Esses servidores se conectam a um servidor C2 de Nível 2 através da porta 443. Os servidores C2 de Nível 2, similarmente, se comunicam com os servidores C2 de Nível 3 através da porta 443, e os servidores C2 de Nível 3 se conectam consistentemente aos servidores C2 de Nível 4 através da mesma porta.

“O servidor de Nível 4 é considerado o servidor central da operação, presumivelmente utilizado para administrar de forma eficaz todos os servidores downstream a longo prazo”, afirmou a empresa de cibersegurança, acrescentando que também observou o servidor de C2 de Nível 4 se comunicando com outro “servidor auxiliar” através da porta 8033.