新しいバージョンのSolarMakerバックドアはステルス性が向上しています
セキュリティ研究者は、検出の回避に関連する改善を誇るSolarMakerマルウェアの更新バージョンを発見しました。 SolarMakerは、主にバックドアツールとして知られているマルウェアです。
SolarMakerがレーンを切り替える
パロアルトネットワークスの研究チームは、新しいマルウェアを選び出し、その結果を報告しました。研究者によると、SolarMakerは最近、Windowsポータブル実行可能ファイルの使用から.MSIファイルのWindowsインストーラーパッケージの使用に進化しました。ただし、研究者が調査しているマルウェアを使用した進行中のキャンペーンでは、攻撃者はポータブル実行可能ファイルを使用して、古い.EXEアプローチにシフトしているようです。
SolarMakerは、バックドアマルウェアと情報盗用者の両方として知られています。悪意のあるソフトウェアには、ブラウザに保存されている情報を取得してマルウェアオペレーターに盗み出したり、C2サーバーから受信したコマンドを実行したりする機能があります。
数か月前の2022年2月、SolarMakerは、ターゲットシステムでの永続性を実現するために、Windowsレジストリ値と変更を悪用することに頼りました。現在、パロアルトはこれの進化を観察しています。
現在、SolarMakerは、PDFリーダーアプリのインストーラーを装って、分厚い260メガバイトのインストーラーファイルとして配布されています。悪意のあるインストーラーが合法的なソフトウェアではなく人々のシステムに行き着く方法は、SolarMakerをホストしている悪意のあるページに検索エンジンを操作してキーワードを詰め込むハッカーの能力です。これにより、マルウェアを含むインストーラーをホストしている偽のWebサイトが、検索エンジンの結果ページの上位に表示されるようになります。
正当性の偽の層を介してセキュリティをかわす
大きなインストーラーファイルには、正規のソフトウェアが含まれています。ただし、正規のソフトウェアがダウンロードおよびインストールされている間、悪意のあるインストーラーはPowerShellコマンドをバックグラウンドで静かに実行し、SolarMakerを展開します。
PowerShellインストーラーメソッドを正規のインストールパッケージ内にパックすると、SolarMakerは自動化されたセキュリティ防御をより効果的に回避し、脅威レベルを上げることができます。
インストーラー内のPowerShellスクリプトは難読化されており、大きなインストーラーファイル内の正規のアプリケーションになりすますことで、マルウェアが気付かれずにすり抜けやすくなります。