研究者はソーラーマーカーを押す新しいマルウェアキャンペーンを発見
Cisco Talosのセキュリティ研究者は、Solarmarkerマルウェアを使用した新しい悪意のあるキャンペーンを発見して調査しました。調査によると、新しいキャンペーンは熟練した洗練された脅威アクターによって実行されます。
Solarmarkerは、RAT、バックドア、infostealer、およびキーロガー機能を備えた多目的の悪意のあるツールです。過去数か月間、大規模で組織化されたキャンペーンでは使用されていなかったため、シスコはこの最新のプッシュにさらに注力するようになりました。
この特定のキャンペーンでSolarmarkerのキーロガーコンポーネントを分解すると、ツールは英語、ドイツ語、ロシア語の文字列でのみ機能し、理解するため、ヨーロッパの犠牲者に焦点を当てている可能性が非常に高いことが明らかになりました。
ただし、現在のキャンペーンの背後にいる悪意のある人物は、彼らの目標について特に気難しいわけではありません。 ZDNetは、Solarmarkerキャンペーンが政府、医療、教育機関を対象としていることを概説したCiscoのレポートを引用しましたが、特定のパターンはないようです。
マイクロソフトと協力している研究者はまた、悪意のある人物が何らかのSEO中毒を使用しているようだと指摘しました。この手法の目的は、さまざまな検索エンジンの結果ページでマルウェアのドロッパーの可視性を向上させることです。興味深いことに、SEO中毒がSolarmarkerで初めて発見された以前のキャンペーンは、主に米国の被害者を対象としていました。
Infosecは、現在使用されているバージョンのSolarmarkerが、会社の従業員がブラウザフォームに入力した情報を盗むだけでなく、ネットワーク全体の侵害につながる可能性のあるログイン資格情報を盗む可能性があると警告しています。
Solarmarkerは、JupyterというニックネームのDLLモジュールを使用します。このモジュールは、ChromeとFirefoxの両方から個人情報、ログインクレデンシャル、フォーム入力データを盗み出すために使用されます。
マルウェアのスポイトは、主に無料ダウンロードWebサイトの感染ページや偽のページを通じて配布されます。他の多くのマルウェアと同様に、Solarmarkerを回避する最善の方法は、疑わしいダウンロードをすべて回避することです。