Biến thể phần mềm độc hại SolarMarker mới sử dụng các kỹ thuật cập nhật để ở dưới radar

Phần mềm độc hại SolarMarker

Các nhà nghiên cứu an ninh mạng đã tiết lộ một phiên bản mới của với nhiều cải tiến mới với mục tiêu cập nhật khả năng phòng thủ và tránh xa tầm ngắm của nó.

Các nhà nghiên cứu của Palo Alto Networks Unit 42 cho biết trong một báo cáo được công bố trong tháng này: “Phiên bản gần đây đã chứng minh một sự phát triển từ Windows Portable Executables (EXE) sang hoạt động với các tệp gói của trình cài đặt Windows (tệp MSI). “Chiến dịch này vẫn đang trong quá trình phát triển và quay trở lại sử dụng các tệp thực thi (EXE) như đã làm trong các phiên bản trước đó.”

SolarMarker, còn được gọi là Jupyter, tận dụng các chiến thuật tối ưu hóa công cụ tìm kiếm (SEO) bị thao túng làm véc tơ lây nhiễm chính của nó. Nó được biết đến với các tính năng đánh cắp thông tin và cửa hậu, cho phép những kẻ tấn công lấy cắp dữ liệu được lưu trữ trong trình duyệt web và thực hiện các lệnh tùy ý được lấy từ một máy chủ từ xa.

Vào tháng 2 năm 2022, các nhà điều hành của SolarMarker đã được quan sát bằng cách sử dụng các thủ thuật lén lút Windows Registry để thiết lập tính ổn định lâu dài trên các hệ thống bị xâm phạm.

Phần mềm độc hại SolarMarker

Các mô hình tấn công đang phát triển được phát hiện bởi Đơn vị 42 là sự tiếp nối của hành vi này, điều gì xảy ra với các chuỗi lây nhiễm có dạng tệp thực thi 250 MB cho trình đọc PDF và các tiện ích được lưu trữ trên các trang web lừa đảo được đóng gói với các từ khóa và sử dụng kỹ thuật SEO để xếp hạng chúng cao hơn trong kết quả tìm kiếm.

Xem tiếp:   IoT SAFE - Một cách sáng tạo để bảo mật IoT

Kích thước tệp lớn không chỉ cho phép bộ nhỏ giọt giai đoạn đầu tránh được phân tích tự động bởi các công cụ chống vi-rút mà còn được thiết kế để tải xuống và cài đặt chương trình hợp pháp trong khi ở chế độ nền, nó kích hoạt việc thực thi trình cài đặt PowerShell triển khai SolarMarker.

Phần mềm độc hại SolarMarker

Là tải trọng dựa trên .NET, cửa hậu SolarMarker được trang bị khả năng tiến hành trinh sát nội bộ và siêu dữ liệu hệ thống chân không, tất cả đều được chuyển đến máy chủ từ xa qua một kênh được mã hóa.

Bộ cấy ghép cũng có chức năng như một ống dẫn để triển khai mô-đun đánh cắp thông tin của SolarMarker trên máy nạn nhân. Về phần mình, kẻ trộm có thể lấy dữ liệu tự động điền, cookie, mật khẩu và thông tin thẻ tín dụng từ các trình duyệt web.

Các nhà nghiên cứu cho biết: “Phần mềm độc hại đầu tư nỗ lực đáng kể vào việc phòng thủ, bao gồm các kỹ thuật như tệp đã ký, tệp lớn, mạo danh cài đặt phần mềm hợp pháp và tập lệnh PowerShell rối loạn”, các nhà nghiên cứu cho biết.

.

Related Posts

Check Also

Gần 100.000 thông tin đăng nhập của người dùng NPM bị đánh cắp trong GitHub OAuth Vi phạm

Dịch vụ lưu trữ kho lưu trữ dựa trên đám mây GitHub hôm thứ Sáu …