La nouvelle version de SolarMaker Backdoor offre une furtivité améliorée

Les chercheurs en sécurité ont repéré une version mise à jour du malware SolarMaker qui propose des améliorations liées à l'évitement de la détection. SolarMaker est un malware qui est principalement connu comme un outil de porte dérobée.

SolarMaker change de voie

Une équipe de chercheurs de Palo Alto Networks a identifié le nouveau logiciel malveillant et a rendu compte de ses découvertes. Selon les chercheurs, SolarMaker est passé récemment de l'utilisation de fichiers exécutables portables Windows à l'utilisation de packages d'installation Windows dans des fichiers .MSI. Cependant, pour la campagne en cours utilisant le logiciel malveillant que les chercheurs examinent, il semble que les acteurs de la menace reviennent à l'ancienne approche .EXE, en utilisant des exécutables portables.

SolarMaker est connu à la fois comme un logiciel malveillant de porte dérobée et comme un voleur d'informations. Le logiciel malveillant a la capacité de récupérer les informations stockées dans les navigateurs et de les exfiltrer vers les opérateurs de logiciels malveillants, ainsi que d'exécuter les commandes reçues de son serveur C2.

Quelques mois plus tôt, en février 2022, SolarMaker avait eu recours à l'abus des valeurs et des modifications du registre Windows afin d'obtenir une persistance sur les systèmes cibles. Maintenant, Palo Alto observe une évolution de cela.

Actuellement, SolarMaker est distribué sous la forme d'un gros fichier d'installation de 260 mégaoctets, prétendant être le programme d'installation d'une application de lecture de PDF. La façon dont les installateurs malveillants se retrouvent sur les systèmes des gens au lieu des logiciels légitimes est la capacité des pirates à manipuler les moteurs de recherche et à regrouper les mots-clés sur les pages malveillantes hébergeant SolarMaker. Cela permet aux faux sites Web hébergeant le programme d'installation contenant le logiciel malveillant d'apparaître plus haut sur les pages de résultats des moteurs de recherche.

Esquiver la sécurité à travers une fausse couche de légitimité

Les gros fichiers d'installation contiennent des logiciels légitimes. Cependant, pendant le téléchargement et l'installation du logiciel légitime, le programme d'installation malveillant exécute discrètement des commandes PowerShell en arrière-plan et déploie SolarMaker.

L'intégration de la méthode d'installation de PowerShell dans un package d'installation légitime permet à SolarMaker d'esquiver plus efficacement les défenses de sécurité automatisées et d'augmenter son niveau de menace.

Le script PowerShell à l'intérieur du programme d'installation est obscurci et l'usurpation d'identité d'une application légitime dans un gros fichier d'installation permet au logiciel malveillant de passer plus facilement inaperçu.

Par Zaib
April 18, 2022
Computer Security
Français
April 18, 2022
Computer Security

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.