A kutatók felfedezik az új kártevő-kampányt, amely a Solarmarkert nyomja
A Cisco Talos biztonsági kutatói egy új rosszindulatú kampányt fedeztek fel és vizsgáltak meg a Solarmarker kártevő segítségével. A kutatás szerint az új kampányt képzett és kifinomult fenyegetési szereplők irányítják.
A Solarmarker egy többcélú rosszindulatú eszköz, amely RAT, backdoor, infostealer és keylogger funkcióval rendelkezik. Az elmúlt hónapokban nem használták nagyobb, hangszerelt kampányban, ami arra késztette a Cisco-t, hogy jobban összpontosítson erre a legújabb nyomásra.
A Solarmarker kulcsfontosságú elemének szétválasztása ebben a konkrét kampányban kiderítette, hogy nagy valószínűséggel az európai áldozatokra összpontosított, mivel az eszköz csak angolul, németül és oroszul működik és érti a húrokat.
A jelenlegi kampány mögött álló rossz szereplők azonban nem válogatnak különösebben célpontjaikban. A ZDNet idézte a Cisco jelentését, amelyben felvázolta a Solarmarker kampányt, amely kormányzati, egészségügyi és oktatási intézményeket céloz meg, látszólag különösebb pattintás nélkül.
A Microsofttal dolgozó kutatók azt is megjegyezték, hogy úgy tűnik, a rossz szereplők valamilyen SEO-mérgezést alkalmaznak. Ennek a technikának az a célja, hogy javítsa a rosszindulatú program csepegtetőjének láthatóságát a különböző keresőmotorok eredményoldalain. Érdekes módon az a korábbi kampány, amikor a SEO-mérgezést először észlelték a Solarmarkerrel, többnyire az Egyesült Államokban élő áldozatoknak szólt.
Az Infosec arra figyelmeztet, hogy a használt Solarmarker jelenlegi verziója nemcsak a vállalati alkalmazottak által böngészőbe beírt információkat képes ellopni, hanem a bejelentkezési adatokat is lekaparhatja, ami egész hálózatra kiterjedő kompromisszumhoz vezethet.
A Solarmarker egy Jupyter becenevű DLL-modult használ, amely a személyes adatok, a bejelentkezési adatok és az űrlapkitöltési adatok kiszűrésére szolgál mind a Chrome, mind a Firefox böngészőből.
A rosszindulatú program csepegtetőjét elsősorban fertőzött és hamis oldalakon keresztül terjesztik ingyenesen letölthető webhelyeken. Csakúgy, mint sok más rosszindulatú program esetében, a Solarmarker-től való eltávolítás legjobb módja a gyanús letöltések elkerülése.