Los investigadores de seguridad cibernética han revelado una nueva versión del malware SolarMarker que incluye nuevas mejoras con el objetivo de actualizar sus capacidades de evasión de defensa y permanecer bajo el radar.
«La versión reciente demostró una evolución de Windows Portable Executables (archivos EXE) a trabajar con archivos de paquete de instalación de Windows (archivos MSI)», dijeron los investigadores de la Unidad 42 de Palo Alto Networks en un informe publicado este mes. «Esta campaña aún está en desarrollo y está volviendo a usar archivos ejecutables (EXE) como lo hacía en sus versiones anteriores».
SolarMarker, también llamado Jupyter, aprovecha las tácticas manipuladas de optimización de motores de búsqueda (SEO) como su principal vector de infección. Es conocido por sus funciones de robo de información y puerta trasera, que permiten a los atacantes robar datos almacenados en navegadores web y ejecutar comandos arbitrarios recuperados de un servidor remoto.
En febrero de 2022, se observó a los operadores de SolarMarker usando trucos sigilosos del Registro de Windows para establecer una persistencia a largo plazo en sistemas comprometidos.
Los patrones de ataque en evolución detectados por Unit 42 son una continuación de este comportamiento, ya que las cadenas de infección toman la forma de ejecutables de 250 MB para lectores de PDF y utilidades que se alojan en sitios web fraudulentos repletos de palabras clave y utilizan técnicas de SEO para clasificarlos más arriba en el ranking. Resultados de la búsqueda.
El gran tamaño del archivo no solo permite que el cuentagotas de la etapa inicial evite el análisis automatizado por parte de los motores antivirus, sino que también está diseñado para descargar e instalar el programa legítimo mientras, en segundo plano, activa la ejecución de un instalador de PowerShell que implementa el malware SolarMarker.
Una carga útil basada en .NET, la puerta trasera SolarMarker está equipada con capacidades para realizar un reconocimiento interno y metadatos del sistema de vacío, todo lo cual se extrae al servidor remoto a través de un canal cifrado.
El implante también funciona como un conducto para implementar el módulo de robo de información de SolarMarker en la máquina de la víctima. El ladrón, por su parte, puede desviar datos de autocompletado, cookies, contraseñas e información de tarjetas de crédito de los navegadores web.
“El malware invierte un esfuerzo significativo en la evasión de la defensa, que consiste en técnicas como archivos firmados, archivos grandes, suplantación de instalaciones de software legítimas y scripts ofuscados de PowerShell”, dijeron los investigadores.
