研究人員發現推動 Solarmarker 的新惡意軟件活動
Cisco Talos 的安全研究人員發現並檢查了使用 Solarmarker 惡意軟件的新惡意活動。根據研究,新的活動是由熟練而老練的威脅行為者發起的。
Solarmarker 是一種多用途惡意工具,具有 RAT、後門、信息竊取和鍵盤記錄器功能。在過去的幾個月裡,它沒有在更大的、精心策劃的活動中使用,這促使思科更加關注這一最新的推動。
在這次特定的活動中,分解 Solarmarker 的鍵盤記錄器組件表明它很可能專注於歐洲受害者,因為該工具僅適用於並理解英語、德語和俄語的字符串。
然而,當前競選活動背後的壞人對其目標並不特別挑剔。 ZDNet 引用了思科的報告,概述了 Solarmarker 活動的目標是政府、醫療保健和教育機構,似乎沒有特定的模式。
與微軟合作的研究人員還指出,不良行為者似乎正在使用某種 SEO 中毒。該技術的目的是提高惡意軟件投放器在各種搜索引擎結果頁面中的可見性。有趣的是,之前第一次使用 Solarmarker 發現 SEO 中毒的活動主要針對美國的受害者。
Infosec 警告說,正在使用的當前版本的 Solarmarker 不僅可以竊取公司員工在瀏覽器表單中輸入的信息,還可以抓取登錄憑據,這可能會導致整個網絡受到損害。
Solarmarker 使用暱稱為 Jupyter 的 DLL 模塊,用於從 Chrome 和 Firefox 中竊取個人信息、登錄憑據和表單填寫數據。
該惡意軟件的投放器主要通過免費下載網站上的受感染和虛假頁面進行傳播。與許多其他惡意軟件一樣,避開 Solarmarker 的最佳方法是避開任何和所有可疑下載。