La nuova versione di SolarMaker Backdoor vanta una maggiore funzionalità stealth
I ricercatori di sicurezza hanno individuato una versione aggiornata del malware SolarMaker che vanta miglioramenti relativi all'evitare il rilevamento. SolarMaker è un malware noto principalmente come strumento backdoor.
SolarMaker cambia corsia
Un team di ricercatori con Palo Alto Networks ha selezionato il nuovo malware e ha riportato i risultati. Secondo i ricercatori, SolarMaker si è recentemente evoluto dall'utilizzo di file eseguibili portatili di Windows all'utilizzo dei pacchetti di installazione di Windows nei file .MSI. Tuttavia, per la campagna in corso che utilizza il malware che i ricercatori stanno esaminando, sembra che gli attori delle minacce stiano tornando al vecchio approccio .EXE, utilizzando eseguibili portatili.
SolarMaker è noto sia come malware backdoor che come infostealer. Il software dannoso ha la capacità di raschiare le informazioni memorizzate nei browser e di esfiltrarle agli operatori di malware, nonché di eseguire i comandi ricevuti dal suo server C2.
Un paio di mesi prima, nel febbraio 2022, SolarMaker ha fatto ricorso all'abuso dei valori e delle modifiche del registro di Windows per ottenere la persistenza sui sistemi di destinazione. Ora Palo Alto sta osservando un'evoluzione di questo.
Attualmente, SolarMaker viene distribuito come un grosso file di installazione da 260 megabyte, che finge di essere il programma di installazione di un'app di lettura PDF. Il modo in cui i programmi di installazione dannosi finiscono sui sistemi delle persone invece del software legittimo è la capacità degli hacker di manipolare i motori di ricerca e impacchettare parole chiave sulle pagine dannose che ospitano SolarMaker. Ciò consente ai siti Web falsi che ospitano il programma di installazione con il malware di essere visualizzati più in alto nelle pagine dei risultati dei motori di ricerca.
Schivare la sicurezza attraverso un falso livello di legittimità
I file di installazione di grandi dimensioni contengono software legittimo. Tuttavia, mentre il software legittimo viene scaricato e installato, il programma di installazione dannoso esegue silenziosamente i comandi di PowerShell in background e distribuisce SolarMaker.
L'inclusione del metodo di installazione di PowerShell all'interno di un pacchetto di installazione legittimo consente a SolarMaker di schivare le difese di sicurezza automatizzate in modo più efficace e aumenta il livello di minaccia.
Lo script di PowerShell all'interno del programma di installazione è offuscato e impersonare un'applicazione legittima in un file di installazione di grandi dimensioni consente al malware di passare inosservato più facilmente.
