Ny version av SolarMaker Bakdörr har förbättrad smygförmåga
Säkerhetsforskare har upptäckt en uppdaterad version av SolarMaker malware som har förbättringar relaterade till att undvika upptäckt. SolarMaker är ett skadligt program som främst är känt som ett bakdörrsverktyg.
SolarMaker byter fil
Ett forskarteam med Palo Alto Networks plockade isär den nya skadliga programvaran och rapporterade om sina resultat. Enligt forskarna har SolarMaker nyligen utvecklats från att använda Windows bärbara körbara filer till att nu använda Windows installationspaket i .MSI-filer. Men för den pågående kampanjen som använder den skadliga programvaran som forskarna undersöker, verkar det som om hotaktörerna gör en övergång tillbaka till den gamla .EXE-metoden, med hjälp av bärbara körbara filer.
SolarMaker är känt som både en bakdörr skadlig kod och en infostealer. Den skadliga programvaran har förmågan att skrapa information som lagras i webbläsare och exfiltrera den till skadlig programvara, samt att utföra kommandon som tas emot från dess C2-server.
Ett par månader tidigare, i februari 2022, tog SolarMaker till att missbruka Windows-registervärden och modifieringar för att uppnå uthållighet på målsystemen. Nu observerar Palo Alto en utveckling av detta.
För närvarande distribueras SolarMaker som en chunky 260 megabyte installationsfil, som låtsas vara installationsprogrammet för en PDF-läsarapp. Sättet som de skadliga installatörerna hamnar på människors system istället för den legitima programvaran är hackarnas förmåga att manipulera sökmotorer och packa nyckelord på de skadliga sidor som är värd för SolarMaker. Detta gör att de falska webbplatserna som är värd för installationsprogrammet med skadlig programvara kan visas högre upp på sökmotorernas resultatsidor.
Undvik säkerhet genom ett falskt lager av legitimitet
De stora installationsfilerna innehåller legitim programvara. Men medan den legitima programvaran laddas ner och installeras, kör den skadliga installationsprogrammet tyst PowerShell-kommandon i bakgrunden och distribuerar SolarMaker.
Att packa PowerShell-installationsmetoden i ett legitimt installationspaket gör att SolarMaker kan undvika automatiserade säkerhetsförsvar mer effektivt och höjer dess hotnivå.
PowerShell-skriptet inuti installationsprogrammet är fördunklat och efterliknande av en legitim applikation i en stor installationsfil gör att skadlig programvara lättare glider förbi obemärkt.