Des chercheurs en cybersécurité ont récemment détecté de nouvelles activités liées à une porte dérobée et à un enregistreur de frappe hautement modulaires. Appelé Solarmarker, la menace a plusieurs étapes, chargeur PowerShell fortement obscurci qui exécute la porte dérobée .NET.
Détails techniques de la porte dérobée Solarmarker
Les activités de Solarmarker ont été observées indépendamment par des chercheurs de CrowdStrike et Cisco Talos. Les deux sociétés ont détecté Solarmarker l'année dernière, en octobre et septembre, respectivement. Cependant, Talos dit que certaines données de télémétrie DNS remontent même à avril 2020. C'est à ce moment que les chercheurs ont découvert trois composants DLL principaux et plusieurs variantes présentant un comportement similaire.
en relation: L'opération Facefish: Linux ciblé par une nouvelle porte dérobée et un nouveau rootkit
« Le composant de mise en scène de Solarmarker sert de centre d'exécution central, faciliter les communications initiales avec les serveurs C2 et permettre à d'autres modules malveillants d'être déposés sur l'hôte victime. Dans nos données observées, le stager est déployé en tant qu'assembly .NET nommé “d” et une seule classe d'exécution nommée “m” (désignés conjointement dans cette analyse comme “d.m”),” Cisco Talos dit.
Comme prochaine étape, le malware extrait plusieurs fichiers sur le “AppDataLocalTemp” répertoire à l'exécution, incluant un fichier TMP portant le même nom que le fichier téléchargé d'origine, et un fichier de script PowerShell (PS1), qui initie le reste de la chaîne d'exécution.
"Le processus d'exécution du fichier TMP émet une commande PowerShell qui charge le contenu du script PS1 déposé et l'exécute avant de supprimer le fichier chargé. Le blob binaire résultant est ensuite décodé par XORing de son tableau d'octets avec une clé codée en dur et injecté dans la mémoire via le chargement d'assemblage réfléchissant. La “courir” méthode du module contenu “d.m” est alors appelé à compléter l'infection initiale,» selon la description technique de Talos.
Dans une attaque typique, un stager sera injecté sur la machine de la victime pour les communications de commande et de contrôle. Puis, un deuxième composant, connu sous le nom de Jupyter, est injecté par le stager. Jupyter, un module DLL, peut voler divers types de données personnelles, y compris les informations d'identification et les soumissions de formulaires à partir de navigateurs tels que Firefox et Chrome et les annuaires d'utilisateurs.
“La Voleur d'informations Jupyter est le deuxième module le plus abandonné de Solarmarker. Pendant l'exécution de nombreux exemples Solarmarker, nous avons observé le C2 envoyant une charge utile PS1 supplémentaire à l'hôte victime,” selon Cisco Talos.
« La campagne en cours de Solarmarker et la famille de logiciels malveillants associée sont préoccupantes.. Il a d'abord été capable de fonctionner et d'évoluer sur une durée importante tout en restant relativement indétectable,» notent les chercheurs en conclusion. Ils s'attendent également à voir d'autres actions et développements de la part des auteurs de Solarmarker, susceptibles d'inclure de nouvelles tactiques et procédures pour le malware..
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: