新版 SolarMaker 后门改进了隐身性

安全研究人员发现了 SolarMaker 恶意软件的更新版本，该恶意软件在避免检测方面进行了改进。 SolarMaker 是一种恶意软件，主要被称为后门工具。

SolarMaker 切换车道

Palo Alto Networks 的一个研究团队挑选出新的恶意软件并报告了他们的发现。据研究人员称，SolarMaker 最近已从使用 Windows 可移植可执行文件发展到现在使用 .MSI 文件中的 Windows 安装程序包。然而，对于使用研究人员正在检查的恶意软件的持续活动，威胁参与者似乎正在转向使用可移植可执行文件的旧 .EXE 方法。

SolarMaker 被称为后门恶意软件和信息窃取者。恶意软件能够抓取存储在浏览器中的信息并将其泄露给恶意软件操作员，并执行从其 C2 服务器接收到的命令。

几个月前，也就是 2022 年 2 月，SolarMaker 滥用 Windows 注册表值和修改，以实现目标系统的持久性。现在帕洛阿尔托正在观察这种情况的演变。

目前，SolarMaker 作为一个 260 兆字节的安装程序文件分发，伪装成 PDF 阅读器应用程序的安装程序。恶意安装程序最终进入人们的系统而不是合法软件的方式是黑客能够操纵搜索引擎并在托管 SolarMaker 的恶意页面上打包关键字。这允许托管带有恶意软件的安装程序的虚假网站在搜索引擎结果页面上显示得更高。

通过虚假的合法性层躲避安全

大型安装程序文件包含合法软件。但是，在下载和安装合法软件时，恶意安装程序会在后台悄悄运行 PowerShell 命令并部署 SolarMaker。

将 PowerShell 安装程序方法打包到合法的安装包中可以让 SolarMaker 更有效地避开自动安全防御并提高其威胁级别。

安装程序中的 PowerShell 脚本被混淆，并且在大型安装程序文件中冒充合法应用程序可以让恶意软件更容易被忽视。