La nouvelle version de SolarMaker Backdoor offre une furtivité améliorée
Les chercheurs en sécurité ont repéré une version mise à jour du malware SolarMaker qui propose des améliorations liées à l'évitement de la détection. SolarMaker est un malware qui est principalement connu comme un outil de porte dérobée.
SolarMaker change de voie
Une équipe de chercheurs de Palo Alto Networks a identifié le nouveau logiciel malveillant et a rendu compte de ses découvertes. Selon les chercheurs, SolarMaker est passé récemment de l'utilisation de fichiers exécutables portables Windows à l'utilisation de packages d'installation Windows dans des fichiers .MSI. Cependant, pour la campagne en cours utilisant le logiciel malveillant que les chercheurs examinent, il semble que les acteurs de la menace reviennent à l'ancienne approche .EXE, en utilisant des exécutables portables.
SolarMaker est connu à la fois comme un logiciel malveillant de porte dérobée et comme un voleur d'informations. Le logiciel malveillant a la capacité de récupérer les informations stockées dans les navigateurs et de les exfiltrer vers les opérateurs de logiciels malveillants, ainsi que d'exécuter les commandes reçues de son serveur C2.
Quelques mois plus tôt, en février 2022, SolarMaker avait eu recours à l'abus des valeurs et des modifications du registre Windows afin d'obtenir une persistance sur les systèmes cibles. Maintenant, Palo Alto observe une évolution de cela.
Actuellement, SolarMaker est distribué sous la forme d'un gros fichier d'installation de 260 mégaoctets, prétendant être le programme d'installation d'une application de lecture de PDF. La façon dont les installateurs malveillants se retrouvent sur les systèmes des gens au lieu des logiciels légitimes est la capacité des pirates à manipuler les moteurs de recherche et à regrouper les mots-clés sur les pages malveillantes hébergeant SolarMaker. Cela permet aux faux sites Web hébergeant le programme d'installation contenant le logiciel malveillant d'apparaître plus haut sur les pages de résultats des moteurs de recherche.
Esquiver la sécurité à travers une fausse couche de légitimité
Les gros fichiers d'installation contiennent des logiciels légitimes. Cependant, pendant le téléchargement et l'installation du logiciel légitime, le programme d'installation malveillant exécute discrètement des commandes PowerShell en arrière-plan et déploie SolarMaker.
L'intégration de la méthode d'installation de PowerShell dans un package d'installation légitime permet à SolarMaker d'esquiver plus efficacement les défenses de sécurité automatisées et d'augmenter son niveau de menace.
Le script PowerShell à l'intérieur du programme d'installation est obscurci et l'usurpation d'identité d'une application légitime dans un gros fichier d'installation permet au logiciel malveillant de passer plus facilement inaperçu.