A SolarMaker Backdoor új verziója továbbfejlesztett lopakodással büszkélkedhet

A biztonsági kutatók felfedezték a SolarMaker kártevő frissített verzióját, amely az észlelés elkerülésével kapcsolatos fejlesztésekkel büszkélkedhet. A SolarMaker egy rosszindulatú program, amely elsősorban hátsó ajtóként ismert.

A SolarMaker sávot vált

A Palo Alto Networks kutatócsoportja elkülönítette az új kártevőt, és beszámolt az eredményekről. A kutatók szerint a SolarMaker a közelmúltban a Windows hordozható futtatható fájlok használatából a Windows telepítőcsomagok .MSI fájlokban történő használatára fejlődött. A kutatók által vizsgált rosszindulatú programokat használó, folyamatban lévő kampányban azonban úgy tűnik, hogy a fenyegetés szereplői visszatérnek a régi .EXE megközelítéshez, amely hordozható futtatható fájlokat használ.

A SolarMaker háttérajtó rosszindulatú programként és információlopóként is ismert. A rosszindulatú szoftver képes arra, hogy a böngészőkben tárolt információkat lekaparja és kiszűrje a rosszindulatú programok üzemeltetőihez, valamint végrehajtsa a C2 szerverétől kapott parancsokat.

Néhány hónappal korábban, 2022 februárjában a SolarMaker a Windows rendszerleíró adatbázisának értékeivel és módosításaival való visszaéléshez folyamodott, hogy a célrendszereken megmaradjon. Most Palo Alto ennek fejlődését figyeli.

Jelenleg a SolarMakert egy vaskos, 260 megabájtos telepítőfájlként terjesztik, úgy tesz, mintha egy PDF-olvasó alkalmazás telepítője lenne. Az a mód, ahogyan a rosszindulatú telepítők a legális szoftverek helyett az emberek rendszereire kerülnek, az az, hogy a hackerek képesek manipulálni a keresőmotorokat és kulcsszavakat csomagolni a SolarMaker-t tároló rosszindulatú oldalakra. Ez lehetővé teszi, hogy a telepítőt tartalmazó, rosszindulatú programokat tartalmazó hamis webhelyek magasabban jelenjenek meg a keresőmotorok eredményoldalain.

A biztonság elkerülése a legitimitás hamis rétegén keresztül

A nagy telepítőfájlok legitim szoftvereket tartalmaznak. A jogszerű szoftver letöltése és telepítése közben azonban a rosszindulatú telepítő csendesen futtatja a PowerShell-parancsokat a háttérben, és telepíti a SolarMaker-t.

A PowerShell telepítő metódus legitim telepítőcsomagba való becsomagolása lehetővé teszi, hogy a SolarMaker hatékonyabban kikerülje az automatizált biztonsági védelmet, és növeli a fenyegetettség szintjét.

A telepítőn belüli PowerShell-szkript el van homályosítva, és a nagy telepítőfájlban egy legitim alkalmazásnak kiadva a rosszindulatú program könnyebben észrevétlenül elúszhat.