Nieuwe versie van SolarMaker Backdoor biedt verbeterde stealth

Beveiligingsonderzoekers hebben een bijgewerkte versie van de SolarMaker-malware ontdekt die verbeteringen bevat met betrekking tot het vermijden van detectie. SolarMaker is een malware die vooral bekend staat als een backdoor-tool.

SolarMaker wisselt van rijstrook

Een onderzoeksteam van Palo Alto Networks heeft de nieuwe malware uitgezocht en gerapporteerd over hun bevindingen. Volgens de onderzoekers is SolarMaker recentelijk geëvolueerd van het gebruik van draagbare uitvoerbare Windows-bestanden naar het gebruik van Windows-installatiepakketten in .MSI-bestanden. Echter, voor de lopende campagne waarbij gebruik wordt gemaakt van de malware die de onderzoekers onderzoeken, lijkt het erop dat de bedreigingsactoren een verschuiving maken naar de oude .EXE-aanpak, met behulp van draagbare uitvoerbare bestanden.

SolarMaker staat bekend als zowel een backdoor-malware als een infostealer. De kwaadaardige software heeft de mogelijkheid om informatie die in browsers is opgeslagen te schrapen en te exfiltreren naar de malware-operators, en om opdrachten uit te voeren die zijn ontvangen van de C2-server.

Een paar maanden eerder, in februari 2022, nam SolarMaker zijn toevlucht tot het misbruiken van Windows-registerwaarden en -aanpassingen om persistentie op de doelsystemen te bereiken. Nu ziet Palo Alto een evolutie hiervan.

Momenteel wordt SolarMaker gedistribueerd als een dik 260 megabyte installatiebestand, dat zich voordoet als het installatieprogramma voor een pdf-reader-app. De manier waarop de kwaadaardige installatieprogramma's op de systemen van mensen terechtkomen in plaats van op de legitieme software, is het vermogen van hackers om zoekmachines te manipuleren en trefwoorden in te pakken op de kwaadaardige pagina's die SolarMaker hosten. Hierdoor kunnen de valse websites die het installatieprogramma hosten met de malware erin, hoger op de pagina's met zoekresultaten van zoekmachines verschijnen.

Beveiliging ontwijken door een valse legitimiteitslaag

De grote installatiebestanden bevatten legitieme software. Terwijl de legitieme software wordt gedownload en geïnstalleerd, voert het kwaadwillende installatieprogramma stilletjes PowerShell-opdrachten uit op de achtergrond en implementeert het SolarMaker.

Door de PowerShell-installatiemethode in een legitiem installatiepakket in te pakken, kan SolarMaker geautomatiseerde beveiligingsverdediging effectiever ontwijken en het dreigingsniveau verhogen.

Het PowerShell-script in het installatieprogramma is versluierd en door zich voor te doen als een legitieme toepassing in een groot installatiebestand, kan de malware gemakkelijker onopgemerkt voorbij glippen.