Nowa wersja tylnych drzwi SolarMaker oferuje ulepszoną niewidzialność

Badacze bezpieczeństwa zauważyli zaktualizowaną wersję złośliwego oprogramowania SolarMaker, która zawiera ulepszenia związane z unikaniem wykrycia. SolarMaker to złośliwe oprogramowanie znane przede wszystkim jako narzędzie typu backdoor.

SolarMaker zmienia pasy

Zespół badaczy z Palo Alto Networks wyodrębnił nowe złośliwe oprogramowanie i poinformował o swoich odkryciach. Według naukowców SolarMaker przekształcił się ostatnio z używania przenośnych plików wykonywalnych systemu Windows do korzystania z pakietów instalacyjnych systemu Windows w plikach .MSI. Jednak w przypadku trwającej kampanii wykorzystującej szkodliwe oprogramowanie, które badają badacze, wydaje się, że cyberprzestępcy powracają do starego podejścia .EXE, używając przenośnych plików wykonywalnych.

SolarMaker jest znany zarówno jako złośliwe oprogramowanie typu backdoor, jak i złodziej informacji. Złośliwe oprogramowanie ma możliwość wyłuskiwania informacji przechowywanych w przeglądarkach i eksfiltrowania ich do operatorów złośliwego oprogramowania, a także wykonywania poleceń otrzymywanych z serwera C2.

Kilka miesięcy wcześniej, w lutym 2022 r., SolarMaker uciekł się do nadużywania wartości i modyfikacji rejestru systemu Windows w celu uzyskania trwałości w systemach docelowych. Teraz Palo Alto obserwuje ewolucję tego.

Obecnie SolarMaker jest dystrybuowany jako masywny, 260-megabajtowy plik instalacyjny, udający instalator aplikacji do odczytu plików PDF. Sposób, w jaki złośliwe instalatory trafiają do systemów ludzi zamiast do legalnego oprogramowania, to zdolność hakerów do manipulowania wyszukiwarkami i umieszczania słów kluczowych na złośliwych stronach hostujących SolarMaker. Dzięki temu fałszywe strony internetowe hostujące instalatora z zawartym w nim złośliwym oprogramowaniem mogą wyświetlać się wyżej na stronach wyników wyszukiwania.

Unikanie bezpieczeństwa poprzez fałszywą warstwę legitymacji

Duże pliki instalatora zawierają legalne oprogramowanie. Jednak podczas pobierania i instalowania legalnego oprogramowania złośliwy instalator cicho uruchamia polecenia PowerShell w tle i wdraża SolarMaker.

Spakowanie metody instalatora PowerShell w legalnym pakiecie instalacyjnym pozwala SolarMakerowi skuteczniej unikać automatycznych zabezpieczeń i zwiększa poziom zagrożenia.

Skrypt PowerShell w instalatorze jest zaciemniony i podszywa się pod legalną aplikację w dużym pliku instalatora, co pozwala złośliwemu oprogramowaniu łatwiej prześlizgnąć się przez niezauważone.