Cybersecurity-onderzoekers hebben een nieuwe versie van de SolarMarker-malware onthuld die nieuwe verbeteringen bevat met als doel de verdedigingsontwijkingscapaciteiten te updaten en onder de radar te blijven.
“De recente versie toonde een evolutie van Windows Portable Executables (EXE-bestanden) naar het werken met Windows-installatiepakketbestanden (MSI-bestanden)”, onderzoekers van Palo Alto Networks Unit 42 zei in een rapport dat deze maand is gepubliceerd. “Deze campagne is nog in ontwikkeling en gaat terug naar het gebruik van uitvoerbare bestanden (EXE) zoals in eerdere versies.”
SolarMarker, ook wel Jupyter genoemd, maakt gebruik van gemanipuleerde tactieken voor zoekmachineoptimalisatie (SEO) als primaire infectievector. Het staat bekend om zijn functies voor het stelen van informatie en achterdeurtjes, waardoor de aanvallers gegevens kunnen stelen die zijn opgeslagen in webbrowsers en willekeurige opdrachten kunnen uitvoeren die zijn opgehaald van een externe server.
In februari 2022 werden de operators van SolarMarker geobserveerd met behulp van heimelijke Windows-registertrucs om langdurige persistentie op gecompromitteerde systemen vast te stellen.
De zich ontwikkelende aanvalspatronen die door Unit 42 zijn gesignaleerd, zijn een voortzetting van dit gedrag, waarbij de infectieketens de vorm aannemen van 250 MB uitvoerbare bestanden voor PDF-lezers en hulpprogramma’s die worden gehost op frauduleuze websites vol met trefwoorden en gebruikmaken van SEO-technieken om ze hoger te rangschikken in de Zoekresultaten.
De grote bestandsgrootte zorgt er niet alleen voor dat de dropper in de eerste fase geautomatiseerde analyse door antivirus-engines vermijdt, het is ook ontworpen om het legitieme programma te downloaden en te installeren, terwijl het op de achtergrond de uitvoering van een PowerShell-installatieprogramma activeert dat de SolarMarker-malware implementeert.
Een op .NET gebaseerde payload, de SolarMarker-backdoor is uitgerust met mogelijkheden om interne verkenningen uit te voeren en metadata van het vacuümsysteem uit te voeren, die allemaal via een versleuteld kanaal naar de externe server worden geëxfiltreerd.
Het implantaat fungeert ook als een kanaal om de informatie-stelende module van de SolarMarker op de machine van het slachtoffer te plaatsen. De dief kan op zijn beurt automatisch ingevulde gegevens, cookies, wachtwoorden en creditcardgegevens van webbrowsers overhevelen.
“De malware investeert veel in verdedigingsontduiking, die bestaat uit technieken zoals ondertekende bestanden, enorme bestanden, imitatie van legitieme software-installaties en versluierde PowerShell-scripts”, aldus de onderzoekers.
