新版 SolarMaker 後門改進了隱身性
安全研究人員發現了 SolarMaker 惡意軟件的更新版本,該惡意軟件在避免檢測方面進行了改進。 SolarMaker 是一種惡意軟件,主要被稱為後門工具。
SolarMaker 切換車道
Palo Alto Networks 的一個研究團隊挑選出新的惡意軟件並報告了他們的發現。據研究人員稱,SolarMaker 最近已從使用 Windows 可移植可執行文件發展到現在使用 .MSI 文件中的 Windows 安裝程序包。然而,對於使用研究人員正在檢查的惡意軟件的持續活動,威脅參與者似乎正在轉向使用可移植可執行文件的舊 .EXE 方法。
SolarMaker 被稱為後門惡意軟件和信息竊取者。惡意軟件能夠抓取存儲在瀏覽器中的信息並將其洩露給惡意軟件操作員,並執行從其 C2 服務器接收到的命令。
幾個月前,也就是 2022 年 2 月,SolarMaker 濫用 Windows 註冊表值和修改,以實現目標系統的持久性。現在帕洛阿爾托正在觀察這種情況的演變。
目前,SolarMaker 作為一個 260 兆字節的安裝程序文件分發,偽裝成 PDF 閱讀器應用程序的安裝程序。惡意安裝程序最終進入人們的系統而不是合法軟件的方式是黑客能夠操縱搜索引擎並在託管 SolarMaker 的惡意頁面上打包關鍵字。這允許託管帶有惡意軟件的安裝程序的虛假網站在搜索引擎結果頁面上顯示得更高。
通過虛假的合法性層躲避安全
大型安裝程序文件包含合法軟件。但是,在下載和安裝合法軟件時,惡意安裝程序會在後台悄悄運行 PowerShell 命令並部署 SolarMaker。
將 PowerShell 安裝程序方法打包到合法的安裝包中可以讓 SolarMaker 更有效地避開自動安全防禦並提高其威脅級別。
安裝程序中的 PowerShell 腳本被混淆,並且在大型安裝程序文件中冒充合法應用程序可以讓惡意軟件更容易被忽視。