Ny versjon av SolarMaker Backdoor har forbedret stealth
Sikkerhetsforskere har oppdaget en oppdatert versjon av SolarMaker malware som har forbedringer knyttet til å unngå oppdagelse. SolarMaker er en skadelig programvare som først og fremst er kjent som et bakdørsverktøy.
SolarMaker bytter fil
Et forskerteam med Palo Alto Networks plukket fra hverandre den nye skadevare og rapporterte om funnene deres. Ifølge forskerne har SolarMaker nylig utviklet seg fra å bruke Windows bærbare kjørbare filer til nå å bruke Windows installasjonspakker i .MSI-filer. Men for den pågående kampanjen som bruker skadelig programvare som forskerne undersøker, ser det ut til at trusselaktørene gjør et skifte tilbake til den gamle .EXE-tilnærmingen, ved å bruke bærbare kjørbare filer.
SolarMaker er kjent som både en bakdør malware og en infostealer. Den ondsinnede programvaren har muligheten til å skrape informasjon som er lagret i nettlesere og eksfiltrere den til skadevareoperatørene, samt å utføre kommandoer mottatt fra C2-serveren.
Et par måneder tidligere, i februar 2022, tyr SolarMaker til å misbruke Windows-registerverdier og modifikasjoner for å oppnå utholdenhet på målsystemene. Nå observerer Palo Alto en utvikling av dette.
For øyeblikket distribueres SolarMaker som en tykk 260 megabyte installasjonsfil, som utgir seg for å være installasjonsprogrammet for en PDF-leserapp. Måten de ondsinnede installatørene havner på folks systemer i stedet for den legitime programvaren, er hackernes evne til å manipulere søkemotorer og pakke nøkkelord på de ondsinnede sidene som er vert for SolarMaker. Dette gjør at de falske nettstedene som er vert for installasjonsprogrammet med skadelig programvare i, vises høyere opp på søkemotorresultatsidene.
Unngå sikkerhet gjennom et falsk lag av legitimitet
De store installasjonsfilene inneholder legitim programvare. Men mens den legitime programvaren lastes ned og installeres, kjører det ondsinnede installasjonsprogrammet PowerShell-kommandoer i bakgrunnen og distribuerer SolarMaker.
Ved å pakke PowerShell-installasjonsmetoden i en legitim installasjonspakke kan SolarMaker unngå automatiserte sikkerhetsforsvar mer effektivt og øke trusselnivået.
PowerShell-skriptet inne i installasjonsprogrammet er tilslørt, og etterligning av en legitim applikasjon i en stor installasjonsfil gjør det lettere for skadelig programvare å gli forbi ubemerket.
