En una señal de que los actores de amenazas cambian continuamente de táctica y actualizan sus medidas defensivas, se descubrió que los operadores del ladrón de información y la puerta trasera SolarMarker aprovechan los trucos sigilosos para establecer una persistencia a largo plazo en los sistemas comprometidos.
La firma de seguridad cibernética Sophos, que detectó el nuevo comportamiento, dijo que los implantes de acceso remoto aún se detectan en redes específicas a pesar de que la campaña fue testigo de una disminución en noviembre de 2021.
Con capacidad de recolección de información y puerta trasera, el malware basado en .NET se vinculó con al menos tres oleadas de ataques diferentes en 2021. El primer conjunto, informado en abril, aprovechó las técnicas de envenenamiento de motores de búsqueda para engañar a los profesionales de negocios para que visiten Google incompleto. sitios que instalaron SolarMarker en las máquinas de la víctima.
Luego, en agosto, se observó que el malware se dirigía a los sectores de la salud y la educación con el objetivo de recopilar credenciales e información confidencial. Las cadenas de infección posteriores documentadas por Morphisec en septiembre de 2021 destacaron el uso de instaladores MSI para garantizar la entrega del malware.
El modus operandi de SolarMarker comienza con la redirección de las víctimas a sitios de señuelo que descargan las cargas útiles del instalador de MSI, que, mientras ejecuta programas de instalación aparentemente legítimos como Adobe Acrobat Pro DC, Wondershare PDFelement o Nitro Pro, también inicia un script de PowerShell para implementar el malware.
«Estos esfuerzos de SEO, que aprovecharon una combinación de discusiones de Google Groups y páginas web engañosas y documentos PDF alojados en sitios web comprometidos (generalmente WordPress), fueron tan efectivos que los señuelos de SolarMarker generalmente estaban en la parte superior o cerca de la parte superior de los resultados de búsqueda de frases que SolarMarker actores atacados», los investigadores de Sophos Gabor Szappanos y Sean Gallagher dicho en un informe compartido con The Hacker News.
El instalador de PowerShell está diseñado para modificar el Registro de Windows y soltar un archivo .LNK en el directorio de inicio de Windows para establecer la persistencia. Este cambio no autorizado da como resultado que el malware se cargue desde una carga cifrada escondida entre lo que los investigadores llamaron una «cortina de humo» de 100 a 300 archivos basura creados específicamente para este propósito.
«Normalmente, uno esperaría que este archivo vinculado sea un archivo ejecutable o de secuencia de comandos», detallaron los investigadores. «Pero para estas campañas de SolarMarker, el archivo vinculado es uno de los archivos basura aleatorios y no se puede ejecutar por sí mismo.
Además, la extensión de archivo única y aleatoria utilizada para el archivo basura vinculado se utiliza para crear una clave de tipo de archivo personalizada, que finalmente se emplea para ejecutar el malware durante el inicio del sistema mediante la ejecución de un comando de PowerShell desde el Registro.
La puerta trasera, por su parte, está en constante evolución y presenta una variedad de funcionalidades que le permiten robar información de los navegadores web, facilitar el robo de criptomonedas y ejecutar comandos y archivos binarios arbitrarios, cuyos resultados se extraen a un servidor remoto.
«Otra conclusión importante […]que también se observó en las vulnerabilidades de ProxyLogon dirigidas a los servidores de Exchange, es que los defensores siempre deben comprobar si los atacantes han dejado algo en la red a lo que puedan volver más tarde”, dijo Gallagher. es una puerta trasera sigilosa y persistente que, según Sophos Telematics, sigue activa meses después de que finalizó la campaña».
