Onderzoekers ontdekken nieuwe malwarecampagne die Solarmarker pusht
Beveiligingsonderzoekers van Cisco Talos hebben een nieuwe kwaadaardige campagne ontdekt en onderzocht met behulp van de Solarmarker-malware. Volgens het onderzoek wordt de nieuwe campagne geleid door bekwame en geavanceerde dreigingsactoren.
Solarmarker is een multifunctioneel kwaadaardig hulpmiddel met RAT-, achterdeur-, infostealer- en keylogger-functionaliteit. Het is de afgelopen maanden niet gebruikt in een grotere, georkestreerde campagne, wat Cisco ertoe aanzette zich meer op deze laatste push te concentreren.
Door de keylogger-component van Solarmarker in deze specifieke campagne uit te zoeken, bleek dat deze zeer waarschijnlijk gericht was op Europese slachtoffers, aangezien de tool alleen werkt met en begrijpt strings in het Engels, Duits en Russisch.
De slechte actoren achter de huidige campagne zijn echter niet bijzonder kieskeurig over hun doelwitten. ZDNet citeerde het Cisco-rapport, waarin wordt geschetst dat de Solarmarker-campagne gericht is op overheids-, gezondheidszorg- en onderwijsinstellingen, schijnbaar zonder specifiek patroon.
Onderzoekers die met Microsoft samenwerken, merkten ook op dat het erop lijkt dat de slechte acteurs een soort SEO-vergiftiging gebruiken. Het doel van deze techniek is om de zichtbaarheid van de druppelaar van de malware op verschillende pagina's met zoekresultaten van zoekmachines te verbeteren. Interessant is dat die vorige campagne, toen SEO-vergiftiging voor het eerst werd gesignaleerd met Solarmarker, vooral gericht was op slachtoffers in de VS.
Infosec waarschuwt dat de huidige versie van Solarmarker die wordt gebruikt niet alleen informatie kan stelen die door bedrijfsmedewerkers in een browserformulier is ingevoerd, maar ook inloggegevens kan stelen die kunnen leiden tot netwerkbrede compromissen.
Solarmarker gebruikt een DLL-module met de bijnaam Jupyter die wordt gebruikt om persoonlijke informatie, inloggegevens en formuliervulgegevens uit zowel Chrome als Firefox te exfiltreren.
De druppelaar van de malware wordt voornamelijk verspreid via geïnfecteerde en valse pagina's op gratis downloadwebsites. Zoals met veel andere malware, is Solarmarker de beste manier om alle verdachte downloads te vermijden.