I ricercatori della sicurezza informatica hanno recentemente rilevato nuove attività relative a una backdoor e un keylogger altamente modulari. Chiamato Solarmarker, la minaccia ha un multistadio, caricatore PowerShell fortemente offuscato che esegue la backdoor .NET.
Dettagli tecnici della porta sul retro di Solarmarker
Le attività di Solarmarker sono state osservate in modo indipendente dai ricercatori di Crowdstrike e Cisco Talos. Entrambe le società hanno rilevato Solarmarker l'anno scorso, in ottobre e settembre, rispettivamente. Tuttavia, Talos afferma che alcuni dati di telemetria DNS puntano addirittura ad aprile 2020. Questo è quando i ricercatori hanno scoperto tre componenti DLL principali e più varianti che presentano comportamenti simili.
Correlata: L'operazione Facefish: Linux preso di mira da nuovi backdoor e rootkit
“Il componente di staging di Solarmarker funge da hub di esecuzione centrale, facilitare le comunicazioni iniziali con i server C2 e consentire il rilascio di altri moduli dannosi sull'host della vittima. All'interno dei nostri dati osservati, lo stager viene distribuito come assembly .NET denominato “d” e una singola classe in esecuzione denominata “m” (indicati congiuntamente in questa analisi come “d.m”),"Ci dice Talos.
Come prossimo passo, il malware estrae diversi file nel “AppDataLocalTemp” directory in esecuzione, incluso un file TMP con lo stesso nome del file scaricato originale, e un file di script PowerShell (PS1), che avvia il resto della catena di esecuzione.
"Il processo di esecuzione del file TMP emette un comando PowerShell che carica il contenuto dello script PS1 rilasciato e lo esegue prima di eliminare il file caricato. Il blob binario risultante viene quindi decodificato eseguendo l'XORing del suo array di byte con una chiave codificata e iniettato in memoria tramite il caricamento dell'assembly riflettente. Il “correre” metodo del modulo contenuto “d.m” viene quindi chiamato per completare l'infezione iniziale,” secondo la descrizione tecnica di Talos.
In un tipico attacco, uno stager verrà iniettato sulla macchina della vittima per le comunicazioni di comando e controllo. Poi, un secondo componente, noto come Jupyter, viene iniettato dallo stager. Giove, un modulo DLL, può rubare vari tipi di dati personali personali, incluse credenziali e invii di moduli da browser come Firefox e Chrome e directory utente.
“Il Ladro di informazioni Jupyter è il secondo modulo più abbandonato di Solarmarker. Durante l'esecuzione di molti dei campioni Solarmarker, abbiamo osservato il C2 che inviava un payload PS1 aggiuntivo all'host della vittima,” secondo Cisco Talos.
"La campagna in corso di Solarmarker e la famiglia di malware associata sono preoccupanti. Inizialmente era in grado di funzionare ed evolversi per un periodo di tempo significativo pur rimanendo relativamente inosservato,” notano i ricercatori in conclusione. Si aspettano inoltre di vedere ulteriori azioni e sviluppi da parte degli autori di Solarmarker che probabilmente includeranno nuove tattiche e procedure per il malware.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: