Nova versão do SolarMaker Backdoor apresenta furtividade aprimorada

Pesquisadores de segurança identificaram uma versão atualizada do malware SolarMaker que apresenta melhorias relacionadas a evitar a detecção. SolarMaker é um malware conhecido principalmente como uma ferramenta de backdoor.

SolarMaker muda de faixa

Uma equipe de pesquisadores da Palo Alto Networks separou o novo malware e relatou suas descobertas. De acordo com os pesquisadores, o SolarMaker evoluiu recentemente do uso de arquivos executáveis portáteis do Windows para o uso de pacotes de instalação do Windows em arquivos .MSI. No entanto, para a campanha em andamento usando o malware que os pesquisadores estão examinando, parece que os agentes de ameaças estão voltando à antiga abordagem .EXE, usando executáveis portáteis.

O SolarMaker é conhecido como um malware de backdoor e um infostealer. O software malicioso tem a capacidade de extrair informações armazenadas em navegadores e exfiltrar para os operadores de malware, bem como executar comandos recebidos de seu servidor C2.

Alguns meses antes, em fevereiro de 2022, a SolarMaker recorreu ao abuso de valores e modificações do registro do Windows para obter persistência nos sistemas de destino. Agora Palo Alto está observando uma evolução disso.

Atualmente, o SolarMaker está sendo distribuído como um arquivo de instalação robusto de 260 megabytes, fingindo ser o instalador de um aplicativo leitor de PDF. A maneira como os instaladores maliciosos estão acabando nos sistemas das pessoas em vez do software legítimo é a capacidade dos hackers de manipular os mecanismos de pesquisa e empacotar palavras-chave nas páginas maliciosas que hospedam o SolarMaker. Isso permite que os sites falsos que hospedam o instalador com o malware nele apareçam mais acima nas páginas de resultados do mecanismo de pesquisa.

Esquivando-se da segurança por meio de uma camada falsa de legitimidade

Os arquivos grandes do instalador contêm software legítimo. No entanto, enquanto o software legítimo está sendo baixado e instalado, o instalador malicioso executa comandos do PowerShell silenciosamente em segundo plano e implanta o SolarMaker.

Empacotar o método de instalação do PowerShell em um pacote de instalação legítimo permite que o SolarMaker se esquive das defesas de segurança automatizadas com mais eficiência e aumenta seu nível de ameaça.

O script do PowerShell dentro do instalador é ofuscado e a representação de um aplicativo legítimo em um arquivo grande do instalador permite que o malware passe despercebido com mais facilidade.