Новая версия бэкдора SolarMaker может похвастаться улучшенной скрытностью

Исследователи безопасности обнаружили обновленную версию вредоносного ПО SolarMaker, которое может похвастаться улучшениями, связанными с предотвращением обнаружения. SolarMaker — это вредоносное ПО, которое в первую очередь известно как бэкдор.

SolarMaker меняет полосу движения

Группа исследователей из Palo Alto Networks разобрала новое вредоносное ПО и сообщила о своих выводах. По словам исследователей, SolarMaker недавно перешел от использования переносимых исполняемых файлов Windows к использованию пакетов установщика Windows в файлах .MSI. Однако для продолжающейся кампании с использованием вредоносного ПО, которое изучают исследователи, кажется, что злоумышленники возвращаются к старому подходу .EXE, используя переносимые исполняемые файлы.

SolarMaker известен как бэкдор-вредоносное ПО и похититель информации. Вредоносное программное обеспечение имеет возможность очищать информацию, хранящуюся в браузерах, и передавать ее операторам вредоносных программ, а также выполнять команды, полученные от своего C2-сервера.

Несколькими месяцами ранее, в феврале 2022 года, SolarMaker прибегла к злоупотреблению значениями и модификациями реестра Windows, чтобы добиться устойчивости в целевых системах. Теперь Пало-Альто наблюдает за эволюцией этого.

В настоящее время SolarMaker распространяется в виде объемного установочного файла размером 260 мегабайт, который притворяется установщиком приложения для чтения PDF-файлов. Способ, которым вредоносные установщики попадают в системы людей вместо законного программного обеспечения, заключается в способности хакеров манипулировать поисковыми системами и упаковывать ключевые слова на вредоносных страницах, на которых размещается SolarMaker. Это позволяет поддельным веб-сайтам, на которых размещен установщик с вредоносным ПО, отображаться выше на страницах результатов поисковой системы.

Уклонение от безопасности через фальшивый слой легитимности

Большие установочные файлы содержат законное программное обеспечение. Однако пока легитимное программное обеспечение загружается и устанавливается, вредоносный установщик незаметно запускает команды PowerShell в фоновом режиме и развертывает SolarMaker.

Упаковка метода установки PowerShell в законный установочный пакет позволяет SolarMaker более эффективно уклоняться от автоматических средств защиты и повышает уровень угрозы.

Сценарий PowerShell внутри установщика запутан, а олицетворение законного приложения в большом файле установщика позволяет вредоносному ПО легче проскользнуть незамеченным.