Ny version af SolarMaker Bagdør kan prale af forbedret stealth
Sikkerhedsforskere har set en opdateret version af SolarMaker-malwaren, der kan prale af forbedringer relateret til at undgå opdagelse. SolarMaker er en malware, der primært er kendt som et bagdørsværktøj.
SolarMaker skifter vognbane
Et forskerhold med Palo Alto Networks valgte den nye malware fra hinanden og rapporterede om deres resultater. Ifølge forskerne har SolarMaker for nylig udviklet sig fra at bruge Windows-bærbare eksekverbare filer til nu at bruge Windows-installationspakker i .MSI-filer. Men for den igangværende kampagne, der bruger den malware, som forskerne undersøger, ser det ud til, at trusselsaktørerne er ved at skifte tilbage til den gamle .EXE-tilgang ved at bruge bærbare eksekverbare filer.
SolarMaker er kendt som både en bagdør malware og en infostealer. Den ondsindede software har evnen til at skrabe information, der er gemt i browsere, og eksfiltrere den til malware-operatørerne, samt at udføre kommandoer modtaget fra dens C2-server.
Et par måneder tidligere, i februar 2022, greb SolarMaker til at misbruge Windows-registreringsværdier og ændringer for at opnå vedholdenhed på målsystemerne. Nu observerer Palo Alto en udvikling af dette.
I øjeblikket distribueres SolarMaker som en chunky 260 megabyte installationsfil, der foregiver at være installationsprogrammet til en PDF-læser-app. Måden, som de ondsindede installatører ender på folks systemer i stedet for den legitime software, er hackernes evne til at manipulere søgemaskiner og pakke søgeord på de ondsindede sider, der hoster SolarMaker. Dette giver mulighed for, at de falske websteder, der hoster installationsprogrammet med malwaren i, vises højere oppe på søgemaskinens resultatsider.
Undgå sikkerhed gennem et falsk lag af legitimitet
De store installationsfiler indeholder lovlig software. Men mens den legitime software downloades og installeres, kører det ondsindede installationsprogram stille og roligt PowerShell-kommandoer i baggrunden og implementerer SolarMaker.
At pakke PowerShell-installationsmetoden inde i en legitim installationspakke giver SolarMaker mulighed for at undvige automatiseret sikkerhedsforsvar mere effektivt og hæver dets trusselsniveau.
PowerShell-scriptet inde i installationsprogrammet er sløret, og efterligning af et legitimt program i en stor installationsfil gør det lettere for malware at glide ubemærket forbi.
