研究人员发现推动 Solarmarker 的新恶意软件活动
Cisco Talos 的安全研究人员发现并检查了使用 Solarmarker 恶意软件的新恶意活动。根据研究,新的活动是由熟练而老练的威胁行为者发起的。
Solarmarker 是一种多用途恶意工具,具有 RAT、后门、信息窃取和键盘记录器功能。在过去的几个月里,它没有在更大的、精心策划的活动中使用,这促使思科更加关注这一最新的推动。
在这次特定的活动中,分解 Solarmarker 的键盘记录器组件表明它很可能专注于欧洲受害者,因为该工具仅适用于并理解英语、德语和俄语的字符串。
然而,当前竞选活动背后的坏人对其目标并不特别挑剔。 ZDNet 引用了思科的报告,概述了 Solarmarker 活动的目标是政府、医疗保健和教育机构,似乎没有特定的模式。
与微软合作的研究人员还指出,不良行为者似乎正在使用某种 SEO 中毒。该技术的目的是提高恶意软件投放器在各种搜索引擎结果页面中的可见性。有趣的是,之前第一次使用 Solarmarker 发现 SEO 中毒的活动主要针对美国的受害者。
Infosec 警告说,正在使用的当前版本的 Solarmarker 不仅可以窃取公司员工在浏览器表单中输入的信息,还可以抓取登录凭据,这可能会导致整个网络受到损害。
Solarmarker 使用昵称为 Jupyter 的 DLL 模块,用于从 Chrome 和 Firefox 中窃取个人信息、登录凭据和表单填写数据。
该恶意软件的投放器主要通过免费下载网站上的受感染和虚假页面进行传播。与许多其他恶意软件一样,避开 Solarmarker 的最佳方法是避开任何和所有可疑下载。