Los investigadores de ciberseguridad detectaron recientemente nuevas actividades relacionadas con una puerta trasera y un registrador de teclas altamente modular. Solarmarker llamado, la amenaza tiene varias etapas, Cargador de PowerShell muy ofuscado que ejecuta la puerta trasera .NET.
Detalles técnicos de la puerta trasera de Solarmarker
Las actividades de los marcadores solares fueron observadas de forma independiente por investigadores de CrowdStrike y Cisco Talos. Ambas empresas detectaron Solarmarker el año pasado, en octubre y septiembre, respectivamente. Sin embargo, Talos dice que algunos datos de telemetría de DNS incluso apuntan a abril 2020. Fue entonces cuando los investigadores descubrieron tres componentes principales de DLL y múltiples variantes que presentaban un comportamiento similar..
Relacionado: La operación Facefish: Linux dirigido por nuevas puertas traseras y rootkit
“El componente de puesta en escena de Solarmarker sirve como centro de ejecución central, Facilitar las comunicaciones iniciales con los servidores C2 y permitir que otros módulos maliciosos se coloquen en el host de la víctima.. Dentro de nuestros datos observados, el stager se implementa como un ensamblado .NET llamado “d” y una sola clase de ejecución llamada “m” (referido conjuntamente en este análisis como “d.m”),"Cisco Talos dice.
Como siguiente paso, el malware extrae varios archivos al “AppData Local Temp” directorio en ejecución, incluyendo un archivo TMP con el mismo nombre que el archivo descargado original, y un archivo de secuencia de comandos de PowerShell (PS1), que inicia el resto de la cadena de ejecución.
“El proceso de ejecución del archivo TMP emite un comando de PowerShell que carga el contenido del script de PS1 eliminado y lo ejecuta antes de eliminar el archivo cargado. El blob binario resultante se decodifica luego XORing su matriz de bytes con una clave codificada y se inyecta en la memoria a través de la carga de ensamblaje reflectante. El “carrera” método del módulo contenido “d.m” luego se llama para completar la infección inicial,"Según la descripción técnica de Talos.
En un ataque típico, Se inyectará un organizador en la máquina de la víctima para las comunicaciones de comando y control.. Entonces, un segundo componente, conocido como Jupyter, es inyectado por el stager. Jupyter, un módulo DLL, puede robar varios tipos de datos personales, incluyendo credenciales y envíos de formularios de navegadores como Firefox y Chrome y directorios de usuarios.
“El Ladrón de información de Jupyter es el segundo módulo más abandonado de Solarmarker. Durante la ejecución de muchas de las muestras de Solarmarker, observamos que el C2 enviaba una carga útil adicional de PS1 al host de la víctima,” según Cisco Talos.
"La campaña en curso de Solarmarker y la familia de malware asociada son preocupantes. Inicialmente fue capaz de operar y evolucionar durante un período de tiempo significativo sin ser detectado relativamente.,”Los investigadores señalan en conclusión. También esperan ver más acciones y desarrollos por parte de los autores de Solarmarker, quienes probablemente incluirán nuevas tácticas y procedimientos para el malware..