Naujoji „SolarMaker Backdoor“ versija pasižymi patobulintu slaptumu

Saugumo tyrinėtojai pastebėjo atnaujintą „SolarMaker“ kenkėjiškos programos versiją, kurioje yra patobulinimų, susijusių su aptikimo išvengimu. „SolarMaker“ yra kenkėjiška programa, kuri pirmiausia žinoma kaip užpakalinių durų įrankis.

„SolarMaker“ perjungia eismo juostas

Tyrėjų komanda su Palo Alto Networks išskyrė naują kenkėjišką programą ir pranešė apie savo atradimus. Tyrėjų teigimu, „SolarMaker“ neseniai pradėjo naudoti „Windows“ nešiojamus vykdomuosius failus ir dabar naudoja „Windows“ diegimo programos paketus .MSI failuose. Tačiau atrodo, kad vykstančioje kampanijoje naudojant kenkėjiškas programas, kurias tiria tyrėjai, grėsmės veikėjai grįžta prie senojo .EXE metodo, naudodami nešiojamus vykdomuosius failus.

„SolarMaker“ yra žinomas kaip užpakalinių durų kenkėjiška programa ir informacijos vagystė. Kenkėjiška programinė įranga turi galimybę iškrapštyti naršyklėse saugomą informaciją ir perduoti ją kenkėjiškų programų operatoriams, taip pat vykdyti komandas, gautas iš C2 serverio.

Prieš porą mėnesių, 2022 m. vasario mėn., „SolarMaker“ ėmėsi piktnaudžiavimo „Windows“ registro reikšmėmis ir modifikacijomis, siekdama išlaikyti tikslines sistemas. Dabar Palo Alto stebi šios raidos raidą.

Šiuo metu „SolarMaker“ platinamas kaip stambus 260 megabaitų diegimo failas, apsimetantis PDF skaitymo programos diegimo programa. Tai, kad kenkėjiški diegimo programos patenka į žmonių sistemas, o ne į teisėtą programinę įrangą, yra įsilaužėlių galimybė manipuliuoti paieškos varikliais ir pakuoti raktinius žodžius kenkėjiškuose puslapiuose, kuriuose yra „SolarMaker“. Taip suklastotos svetainės, kuriose yra įdiegimo programa su kenkėjiška programa, gali būti rodomos aukščiau paieškos variklio rezultatų puslapiuose.

Saugumo išvengimas per netikrą teisėtumo sluoksnį

Dideliuose diegimo failuose yra teisėta programinė įranga. Tačiau kol teisėta programinė įranga atsisiunčiama ir įdiegiama, kenkėjiška diegimo programa tyliai paleidžia PowerShell komandas fone ir diegia SolarMaker.

„PowerShell“ diegimo metodo supakavimas į teisėtą diegimo paketą leidžia „SolarMaker“ veiksmingiau išvengti automatizuotos apsaugos ir padidina grėsmės lygį.

Diegimo programoje esantis „PowerShell“ scenarijus yra užtemdytas ir apsimetinėjant teisėta programa dideliame diegimo faile, kenkėjiška programa gali lengviau nepastebėti.