Neue Version von SolarMaker Backdoor bietet verbesserte Tarnung

Sicherheitsforscher haben eine aktualisierte Version der SolarMaker-Malware entdeckt, die Verbesserungen in Bezug auf die Erkennungsvermeidung aufweist. SolarMaker ist eine Malware, die hauptsächlich als Backdoor-Tool bekannt ist.

SolarMaker wechselt die Fahrspur

Ein Forscherteam von Palo Alto Networks nahm die neue Malware auseinander und berichtete über ihre Ergebnisse. Laut den Forschern hat sich SolarMaker kürzlich von der Verwendung portabler ausführbarer Windows-Dateien zur Verwendung von Windows-Installationspaketen in .MSI-Dateien entwickelt. Für die laufende Kampagne, bei der die von den Forschern untersuchte Malware eingesetzt wird, scheinen die Bedrohungsakteure jedoch zum alten .EXE-Ansatz zurückzukehren und tragbare ausführbare Dateien zu verwenden.

SolarMaker ist sowohl als Backdoor-Malware als auch als Infostealer bekannt. Die bösartige Software kann in Browsern gespeicherte Informationen auslesen und an die Malware-Betreiber exfiltrieren sowie von ihrem C2-Server empfangene Befehle ausführen.

Ein paar Monate zuvor, im Februar 2022, griff SolarMaker dazu, Windows-Registrierungswerte und -Änderungen zu missbrauchen, um Persistenz auf den Zielsystemen zu erreichen. Jetzt beobachtet Palo Alto eine Entwicklung davon.

Derzeit wird SolarMaker als klobige 260-Megabyte-Installationsdatei verteilt, die vorgibt, der Installer für eine PDF-Reader-App zu sein. Die Art und Weise, wie die bösartigen Installer anstelle der legitimen Software auf den Systemen der Menschen landen, ist die Fähigkeit der Hacker, Suchmaschinen zu manipulieren und Schlüsselwörter auf die bösartigen Seiten zu packen, auf denen SolarMaker gehostet wird. Dadurch können die gefälschten Websites, auf denen das Installationsprogramm mit der darin enthaltenen Malware gehostet wird, auf den Ergebnisseiten der Suchmaschinen weiter oben angezeigt werden.

Umgehung der Sicherheit durch eine gefälschte Legitimitätsschicht

Die großen Installationsdateien enthalten legitime Software. Während jedoch die legitime Software heruntergeladen und installiert wird, führt das bösartige Installationsprogramm unbemerkt PowerShell-Befehle im Hintergrund aus und stellt SolarMaker bereit.

Das Packen der PowerShell-Installationsmethode in ein legitimes Installationspaket ermöglicht es SolarMaker, automatisierte Sicherheitsmaßnahmen effektiver zu umgehen, und erhöht seine Bedrohungsstufe.

Das PowerShell-Skript im Installationsprogramm ist verschleiert, und wenn Sie sich in einer großen Installationsdatei als legitime Anwendung ausgeben, kann die Malware leichter unbemerkt vorbeischlüpfen.