A SolarMaker Backdoor új verziója továbbfejlesztett lopakodással büszkélkedhet
A biztonsági kutatók felfedezték a SolarMaker kártevő frissített verzióját, amely az észlelés elkerülésével kapcsolatos fejlesztésekkel büszkélkedhet. A SolarMaker egy rosszindulatú program, amely elsősorban hátsó ajtóként ismert.
A SolarMaker sávot vált
A Palo Alto Networks kutatócsoportja elkülönítette az új kártevőt, és beszámolt az eredményekről. A kutatók szerint a SolarMaker a közelmúltban a Windows hordozható futtatható fájlok használatából a Windows telepítőcsomagok .MSI fájlokban történő használatára fejlődött. A kutatók által vizsgált rosszindulatú programokat használó, folyamatban lévő kampányban azonban úgy tűnik, hogy a fenyegetés szereplői visszatérnek a régi .EXE megközelítéshez, amely hordozható futtatható fájlokat használ.
A SolarMaker háttérajtó rosszindulatú programként és információlopóként is ismert. A rosszindulatú szoftver képes arra, hogy a böngészőkben tárolt információkat lekaparja és kiszűrje a rosszindulatú programok üzemeltetőihez, valamint végrehajtsa a C2 szerverétől kapott parancsokat.
Néhány hónappal korábban, 2022 februárjában a SolarMaker a Windows rendszerleíró adatbázisának értékeivel és módosításaival való visszaéléshez folyamodott, hogy a célrendszereken megmaradjon. Most Palo Alto ennek fejlődését figyeli.
Jelenleg a SolarMakert egy vaskos, 260 megabájtos telepítőfájlként terjesztik, úgy tesz, mintha egy PDF-olvasó alkalmazás telepítője lenne. Az a mód, ahogyan a rosszindulatú telepítők a legális szoftverek helyett az emberek rendszereire kerülnek, az az, hogy a hackerek képesek manipulálni a keresőmotorokat és kulcsszavakat csomagolni a SolarMaker-t tároló rosszindulatú oldalakra. Ez lehetővé teszi, hogy a telepítőt tartalmazó, rosszindulatú programokat tartalmazó hamis webhelyek magasabban jelenjenek meg a keresőmotorok eredményoldalain.
A biztonság elkerülése a legitimitás hamis rétegén keresztül
A nagy telepítőfájlok legitim szoftvereket tartalmaznak. A jogszerű szoftver letöltése és telepítése közben azonban a rosszindulatú telepítő csendesen futtatja a PowerShell-parancsokat a háttérben, és telepíti a SolarMaker-t.
A PowerShell telepítő metódus legitim telepítőcsomagba való becsomagolása lehetővé teszi, hogy a SolarMaker hatékonyabban kikerülje az automatizált biztonsági védelmet, és növeli a fenyegetettség szintjét.
A telepítőn belüli PowerShell-szkript el van homályosítva, és a nagy telepítőfájlban egy legitim alkalmazásnak kiadva a rosszindulatú program könnyebben észrevétlenül elúszhat.