Η νέα έκδοση του SolarMaker Backdoor διαθέτει βελτιωμένο Stealth

Οι ερευνητές ασφαλείας εντόπισαν μια ενημερωμένη έκδοση του κακόβουλου λογισμικού SolarMaker που μπορεί να υπερηφανεύεται για βελτιώσεις που σχετίζονται με την αποφυγή εντοπισμού. Το SolarMaker είναι ένα κακόβουλο λογισμικό που είναι κυρίως γνωστό ως εργαλείο backdoor.

Το SolarMaker αλλάζει λωρίδες

Μια ομάδα ερευνητών με το Palo Alto Networks διάλεξε το νέο κακόβουλο λογισμικό και ανέφερε τα ευρήματά της. Σύμφωνα με τους ερευνητές, το SolarMaker πρόσφατα εξελίχθηκε από τη χρήση φορητών εκτελέσιμων αρχείων των Windows στη χρήση των πακέτων εγκατάστασης των Windows σε αρχεία .MSI. Ωστόσο, για τη συνεχιζόμενη εκστρατεία που χρησιμοποιεί το κακόβουλο λογισμικό που εξετάζουν οι ερευνητές, φαίνεται ότι οι παράγοντες απειλών επιστρέφουν στην παλιά προσέγγιση .EXE, χρησιμοποιώντας φορητά εκτελέσιμα αρχεία.

Το SolarMaker είναι γνωστό και ως κακόβουλο λογισμικό backdoor και ως infotealer. Το κακόβουλο λογισμικό έχει τη δυνατότητα να ξύνει πληροφορίες που είναι αποθηκευμένες σε προγράμματα περιήγησης και να τις εκτοπίζει στους χειριστές κακόβουλου λογισμικού, καθώς και να εκτελεί εντολές που λαμβάνονται από τον διακομιστή C2 του.

Λίγους μήνες νωρίτερα, τον Φεβρουάριο του 2022, η SolarMaker κατέφυγε σε κατάχρηση τιμών μητρώου και τροποποιήσεων των Windows προκειμένου να επιτύχει επιμονή στα συστήματα-στόχους. Τώρα το Palo Alto παρατηρεί μια εξέλιξη αυτού.

Επί του παρόντος, το SolarMaker διανέμεται ως ένα ογκώδες αρχείο εγκατάστασης 260 megabyte, προσποιούμενος ότι είναι το πρόγραμμα εγκατάστασης για μια εφαρμογή ανάγνωσης PDF. Ο τρόπος με τον οποίο οι κακόβουλοι εγκαταστάτες καταλήγουν στα συστήματα των ανθρώπων αντί για το νόμιμο λογισμικό είναι η ικανότητα των χάκερ να χειραγωγούν τις μηχανές αναζήτησης και να συσκευάζουν λέξεις-κλειδιά στις κακόβουλες σελίδες που φιλοξενούν το SolarMaker. Αυτό επιτρέπει στους ψεύτικους ιστότοπους που φιλοξενούν το πρόγραμμα εγκατάστασης με το κακόβουλο λογισμικό να εμφανίζονται πιο ψηλά στις σελίδες αποτελεσμάτων της μηχανής αναζήτησης.

Αποφεύγοντας την ασφάλεια μέσα από ένα ψεύτικο στρώμα νομιμότητας

Τα μεγάλα αρχεία εγκατάστασης περιέχουν νόμιμο λογισμικό. Ωστόσο, ενώ γίνεται λήψη και εγκατάσταση του νόμιμου λογισμικού, το κακόβουλο πρόγραμμα εγκατάστασης εκτελεί αθόρυβα εντολές PowerShell στο παρασκήνιο και αναπτύσσει το SolarMaker.

Η συσκευασία της μεθόδου εγκατάστασης PowerShell σε ένα νόμιμο πακέτο εγκατάστασης επιτρέπει στο SolarMaker να αποφεύγει την αυτοματοποιημένη άμυνα ασφαλείας πιο αποτελεσματικά και αυξάνει το επίπεδο απειλής.

Το σενάριο PowerShell μέσα στο πρόγραμμα εγκατάστασης είναι ασαφές και η πλαστοπροσωπία μιας νόμιμης εφαρμογής σε ένα μεγάλο αρχείο προγράμματος εγκατάστασης επιτρέπει στο κακόβουλο λογισμικό να ξεφεύγει πιο εύκολα απαρατήρητο.