Исследователи обнаружили новую кампанию по распространению вредоносного ПО, продвигающую Solarmarker
Исследователи в области безопасности из Cisco Talos обнаружили и изучили новую вредоносную кампанию с использованием вредоносного ПО Solarmarker. Согласно исследованию, новую кампанию проводят опытные и изощренные злоумышленники.
Solarmarker - это многоцелевой вредоносный инструмент с функциями RAT, бэкдора, инфостилера и кейлоггера. В последние несколько месяцев он не использовался в более масштабной, организованной кампании, что побудило Cisco более пристально сосредоточиться на этом последнем шаге.
Выделение кейлоггера компонента Solarmarker в этой конкретной кампании показало, что он, скорее всего, был ориентирован на европейских жертв, поскольку инструмент работает и понимает строки только на английском, немецком и русском языках.
Однако злоумышленники, стоящие за нынешней кампанией, не особо разборчивы в своих целях. ZDNet процитировал отчет Cisco, в котором говорится, что кампания Solarmarker нацелена на правительственные, медицинские и образовательные учреждения, по-видимому, без какой-либо конкретной темы.
Исследователи, работающие с Microsoft, также отметили, что, похоже, злоумышленники используют своего рода отравление SEO. Цель этого метода - улучшить видимость дроппера вредоносного ПО на различных страницах результатов поисковых систем. Интересно, что предыдущая кампания, когда отравление SEO было впервые обнаружено с помощью Solarmarker, в основном была нацелена на жертв в США.
Infosec предупреждает, что текущая версия Solarmarker может украсть не только информацию, введенную в форму браузера сотрудниками компании, но также очистить учетные данные для входа в систему, что может привести к компрометации всей сети.
Solarmarker использует модуль DLL с именем Jupyter, который используется для эксфильтрации личной информации, учетных данных для входа и заполнения форм как из Chrome, так и из Firefox.
Дроппер вредоносного ПО в основном распространяется через зараженные и поддельные страницы на сайтах бесплатных загрузок. Как и в случае со многими другими вредоносными программами, лучший способ держаться подальше от Solarmarker - избегать любых подозрительных загрузок.