Cybersecurity-Forscher haben eine fortgeschrittene Version der SolarMarker-Malware entdeckt, die mit neuen Verbesserungen ausgestattet ist, um ihre Abwehrfähigkeiten zu verbessern und unter dem Radar zu bleiben.
„Die jüngste Version zeigte eine Entwicklung von Windows Portable Executables (EXE-Dateien) hin zu Windows Installer Package Files (MSI-Dateien)“, so die Forscher von Palo Alto Networks Unit 42 in einem diesen Monat veröffentlichten Bericht. „Diese Kampagne befindet sich noch in der Entwicklung und kehrt zur Verwendung von ausführbaren Dateien (EXE) zurück, wie sie es in ihren früheren Versionen tat.
SolarMarker, auch Jupyter genannt, nutzt manipulierte Suchmaschinenoptimierung (SEO) als primären Infektionsvektor. Er ist bekannt für seinen Informationsdiebstahl und seine Backdoor-Funktionen, die es den Angreifern ermöglichen, in Webbrowsern gespeicherte Daten zu stehlen und beliebige Befehle auszuführen, die von einem entfernten Server abgerufen werden.
Im Februar 2022 wurden die Betreiber von SolarMarker dabei beobachtet, wie sie heimliche Tricks in der Windows-Registrierung einsetzten, um sich langfristig auf kompromittierten Systemen festzusetzen.
Die sich entwickelnden Angriffsmuster, die von Unit 42 entdeckt wurden, sind eine Fortsetzung dieses Verhaltens. Die Infektionsketten nehmen die Form von 250 MB großen ausführbaren Dateien für PDF-Reader und Dienstprogramme an, die auf betrügerischen Websites gehostet werden, die mit Schlüsselwörtern vollgestopft sind und SEO-Techniken nutzen, um in den Suchergebnissen höher zu ranken.
Die große Dateigröße ermöglicht es nicht nur, die automatische Analyse durch Antivirenprogramme zu umgehen, sondern auch, das legitime Programm herunterzuladen und zu installieren, während im Hintergrund ein PowerShell-Installer ausgeführt wird, der die SolarMarker-Malware installiert.
Die SolarMarker-Backdoor ist eine .NET-basierte Nutzlast und verfügt über Funktionen zur internen Erkundung und zum Absaugen von System-Metadaten, die alle über einen verschlüsselten Kanal an den Remote-Server übermittelt werden.
Das Implantat fungiert auch als Kanal, um das SolarMarker-Modul zum Stehlen von Informationen auf dem Computer des Opfers zu installieren. Der Stealer wiederum kann Autofill-Daten, Cookies, Passwörter und Kreditkarteninformationen aus Webbrowsern abgreifen.
„Die Malware investiert erhebliche Anstrengungen in die Umgehung der Verteidigung, die aus Techniken wie signierten Dateien, großen Dateien, der Imitation legitimer Softwareinstallationen und verschleierten PowerShell-Skripten besteht“, so die Forscher.