Forscher entdecken neue Malware-Kampagne, die Solarmarker vorantreibt
Sicherheitsforscher von Cisco Talos haben eine neue bösartige Kampagne entdeckt und untersucht, die die Malware Solarmarker verwendet. Den Untersuchungen zufolge wird die neue Kampagne von erfahrenen und erfahrenen Bedrohungsakteuren durchgeführt.
Solarmarker ist ein bösartiges Mehrzweck-Tool mit RAT-, Backdoor-, Infostealer- und Keylogger-Funktionalität. Es wurde in den letzten Monaten nicht in einer größeren, orchestrierten Kampagne verwendet, was Cisco veranlasste, sich stärker auf diesen neuesten Vorstoß zu konzentrieren.
Die Auswahl der Keylogger-Komponente von Solarmarker in dieser speziellen Kampagne ergab, dass sie sich sehr wahrscheinlich auf europäische Opfer konzentrierte, da das Tool nur mit Zeichenfolgen in Englisch, Deutsch und Russisch funktioniert und diese versteht.
Die schlechten Akteure hinter der aktuellen Kampagne sind jedoch nicht besonders wählerisch in Bezug auf ihre Ziele. ZDNet zitierte den Cisco-Bericht, in dem beschrieben wird, dass die Solarmarker-Kampagne auf Regierungs-, Gesundheits- und Bildungseinrichtungen abzielt, anscheinend ohne spezifisches Muster.
Forscher, die mit Microsoft zusammenarbeiten, stellten auch fest, dass die bösen Akteure anscheinend eine Art SEO-Vergiftung verwenden. Der Zweck dieser Technik besteht darin, die Sichtbarkeit des Dropper der Malware auf verschiedenen Ergebnisseiten von Suchmaschinen zu verbessern. Interessanterweise richtete sich die frühere Kampagne, bei der erstmals SEO-Vergiftungen mit Solarmarker entdeckt wurden, hauptsächlich auf Opfer in den USA.
Infosec warnt davor, dass die aktuelle Version von Solarmarker, die verwendet wird, nicht nur Informationen stehlen kann, die von Firmenmitarbeitern in ein Browserformular eingegeben wurden, sondern auch Login-Daten, die zu einer netzwerkweiten Kompromittierung führen könnten.
Solarmarker verwendet ein DLL-Modul mit dem Spitznamen Jupyter, das verwendet wird, um persönliche Informationen, Anmeldeinformationen und Formularausfülldaten aus Chrome und Firefox zu exfiltrieren.
Der Dropper der Malware wird hauptsächlich über infizierte und gefälschte Seiten auf kostenlosen Download-Websites verbreitet. Wie bei vielen anderen Schadprogrammen besteht der beste Weg, Solarmarker zu meiden, darin, sich von allen verdächtigen Downloads fernzuhalten.