Новая версия бэкдора SolarMaker может похвастаться улучшенной скрытностью
Исследователи безопасности обнаружили обновленную версию вредоносного ПО SolarMaker, которое может похвастаться улучшениями, связанными с предотвращением обнаружения. SolarMaker — это вредоносное ПО, которое в первую очередь известно как бэкдор.
SolarMaker меняет полосу движения
Группа исследователей из Palo Alto Networks разобрала новое вредоносное ПО и сообщила о своих выводах. По словам исследователей, SolarMaker недавно перешел от использования переносимых исполняемых файлов Windows к использованию пакетов установщика Windows в файлах .MSI. Однако для продолжающейся кампании с использованием вредоносного ПО, которое изучают исследователи, кажется, что злоумышленники возвращаются к старому подходу .EXE, используя переносимые исполняемые файлы.
SolarMaker известен как бэкдор-вредоносное ПО и похититель информации. Вредоносное программное обеспечение имеет возможность очищать информацию, хранящуюся в браузерах, и передавать ее операторам вредоносных программ, а также выполнять команды, полученные от своего C2-сервера.
Несколькими месяцами ранее, в феврале 2022 года, SolarMaker прибегла к злоупотреблению значениями и модификациями реестра Windows, чтобы добиться устойчивости в целевых системах. Теперь Пало-Альто наблюдает за эволюцией этого.
В настоящее время SolarMaker распространяется в виде объемного установочного файла размером 260 мегабайт, который притворяется установщиком приложения для чтения PDF-файлов. Способ, которым вредоносные установщики попадают в системы людей вместо законного программного обеспечения, заключается в способности хакеров манипулировать поисковыми системами и упаковывать ключевые слова на вредоносных страницах, на которых размещается SolarMaker. Это позволяет поддельным веб-сайтам, на которых размещен установщик с вредоносным ПО, отображаться выше на страницах результатов поисковой системы.
Уклонение от безопасности через фальшивый слой легитимности
Большие установочные файлы содержат законное программное обеспечение. Однако пока легитимное программное обеспечение загружается и устанавливается, вредоносный установщик незаметно запускает команды PowerShell в фоновом режиме и развертывает SolarMaker.
Упаковка метода установки PowerShell в законный установочный пакет позволяет SolarMaker более эффективно уклоняться от автоматических средств защиты и повышает уровень угрозы.
Сценарий PowerShell внутри установщика запутан, а олицетворение законного приложения в большом файле установщика позволяет вредоносному ПО легче проскользнуть незамеченным.