Badacze wykryli nową kampanię dotyczącą złośliwego oprogramowania, popychającą Solarmarker
Badacze bezpieczeństwa z Cisco Talos zauważyli i zbadali nową złośliwą kampanię wykorzystującą szkodliwe oprogramowanie Solarmarker. Według badań nowa kampania jest prowadzona przez wykwalifikowanych i wyrafinowanych cyberprzestępców.
Solarmarker to wielofunkcyjne złośliwe narzędzie, które posiada funkcje RAT, backdoora, infostealera i keyloggera. Nie był używany w większej, zorganizowanej kampanii w ciągu ostatnich kilku miesięcy, co skłoniło Cisco do większego skupienia się na tym najnowszym impulsie.
Wybranie komponentu keyloggera Solarmarker w tej konkretnej kampanii ujawniło, że najprawdopodobniej skupiał się on na europejskich ofiarach, ponieważ narzędzie działa i rozumie tylko ciągi w języku angielskim, niemieckim i rosyjskim.
Jednak źli aktorzy stojący za obecną kampanią nie są szczególnie wybredni co do swoich celów. ZDNet zacytował raport Cisco, przedstawiający kampanię Solarmarker skierowaną do instytucji rządowych, opieki zdrowotnej i edukacyjnej, pozornie bez konkretnego wzorca.
Badacze współpracujący z Microsoftem zauważyli również, że wygląda na to, że źli aktorzy używają jakiegoś zatrucia SEO. Celem tej techniki jest poprawa widoczności droppera złośliwego oprogramowania na różnych stronach wyników wyszukiwania. Co ciekawe, poprzednia kampania, w której po raz pierwszy zauważono zatrucie SEO przez Solarmarker, była skierowana głównie do ofiar w USA.
Infosec ostrzega, że wykorzystywana bieżąca wersja Solarmarkera może wykraść nie tylko informacje wprowadzane w przeglądarce przez pracowników firmy, ale także wykraść dane logowania, które mogą prowadzić do włamania do całej sieci.
Solarmarker używa modułu DLL o pseudonimie Jupyter, który służy do wydobywania danych osobowych, danych logowania i danych wypełniania formularzy zarówno z przeglądarki Chrome, jak i Firefox.
Dropper szkodliwego oprogramowania jest dystrybuowany głównie za pośrednictwem zainfekowanych i fałszywych stron w witrynach z bezpłatnym pobieraniem. Podobnie jak w przypadku wielu innych złośliwych programów, najlepszym sposobem na uniknięcie Solarmarkera jest unikanie wszelkich podejrzanych pobrań.