Os agentes de ameaças persistentes por detrás do malware SolarMarker, que rouba informações, criaram uma infraestrutura com várias camadas para complicar os esforços de captura das forças da lei, segundo novas descobertas da Recorded Future.
“O núcleo das operações do SolarMarker é a sua infraestrutura em camadas, que consiste em pelo menos dois clusters: um primário para operações activas e um secundário, provavelmente utilizado para testar novas estratégias ou visar regiões ou indústrias específicas”, afirmou a empresa num relatório publicado na semana passada.
“Esta separação aumenta a capacidade do malware para se adaptar e responder a contramedidas, tornando-o particularmente difícil de erradicar”.
O SolarMarker, conhecido pelos nomes Deimos, Jupyter Infostealer, Polazert e Yellow Cockatoo, é uma ameaça sofisticada que tem exibido uma evolução contínua desde o seu surgimento em setembro de 2020. Tem a capacidade de roubar dados de vários navegadores web e carteiras de criptomoedas, bem como de visar configurações VPN e RDP.
Entre os principais sectores verticais visados estão a educação, o governo, os cuidados de saúde, a hotelaria e as pequenas e médias empresas, de acordo com os dados recolhidos desde setembro de 2023. Isto inclui universidades proeminentes, departamentos governamentais, cadeias hoteleiras globais e prestadores de cuidados de saúde. A maioria das vítimas está localizada nos EUA.
Ao longo dos anos, os autores do malware concentraram os seus esforços de desenvolvimento em torná-lo mais furtivo através do aumento do tamanho da carga útil, da utilização de certificados Authenticode válidos, de novas alterações ao Registo do Windows e da capacidade de o executar diretamente da memória em vez do disco.
As vias de infeção envolvem normalmente o alojamento do SolarMarker em sites de descarregamento falsos que anunciam software popular que pode ser visitado pela vítima inadvertidamente ou devido a envenenamento por otimização de motores de busca (SEO), ou através de uma ligação num e-mail malicioso.
Os droppers iniciais assumem a forma de ficheiros executáveis (EXE) e Microsoft Software Installer (MSI) que, quando iniciados, conduzem à implantação de uma backdoor baseada em .NET que é responsável pelo descarregamento de cargas adicionais para facilitar o roubo de informação.
As sequências alternativas aproveitam os instaladores falsificados para lançar uma aplicação legítima (ou um ficheiro de engodo), ao mesmo tempo que lançam um carregador PowerShell para entregar e executar a backdoor SolarMarker na memória.
Os ataques do SolarMarker no ano passado também envolveram a entrega de uma backdoor hVNC baseada em Delphi chamada SolarPhantom, que permite controlar remotamente a máquina da vítima sem o seu conhecimento.
“Em casos recentes, o agente da ameaça do SolarMarker alternou entre as ferramentas Inno Setup e PS2EXE para gerar cargas úteis”, observou a empresa de cibersegurança eSentire em fevereiro de 2024.
Há apenas dois meses, uma nova versão PyInstaller do malware foi detectada na natureza, propagada usando um manual da máquina de lavar louça como chamariz, de acordo com um pesquisador de malware que atende pelo nome de Squiblydoo e documentou extensivamente o SolarMarker ao longo dos anos.
Há indícios que sugerem que o SolarMarker é obra de um ator solitário de proveniência desconhecida, embora investigações anteriores da Morphisec tenham aludido a uma possível ligação russa.
A investigação da Recorded Future sobre as configurações de servidor ligadas aos servidores de comando e controlo (C2) revelou uma arquitetura de várias camadas que faz parte de dois grandes grupos, um dos quais é provavelmente utilizado para fins de teste ou para visar regiões ou indústrias específicas.
A infraestrutura em camadas inclui um conjunto de servidores C2 de nível 1 que estão em contacto direto com as máquinas das vítimas. Estes servidores ligam-se a um servidor C2 de nível 2 através da porta 443. Os servidores C2 de nível 2 comunicam de forma semelhante com os servidores C2 de nível 3 através da porta 443, e os servidores C2 de nível 3 ligam-se sistematicamente aos servidores C2 de nível 4 através da mesma porta.
“O servidor de nível 4 é considerado o servidor central da operação, presumivelmente utilizado para administrar eficazmente todos os servidores a jusante numa base de longo prazo”, disse a empresa de cibersegurança, acrescentando que também observou o servidor C2 de nível 4 a comunicar com outro “servidor auxiliar” através da porta 8033.
“Embora a finalidade exacta deste servidor permaneça desconhecida, especulamos que é utilizado para monitorização, servindo possivelmente como um servidor de verificação de saúde ou de backup”.
Fonte: https://thehackernews.com/2024/05/solarmarker-malware-evolves-to-resist.html
Comentários