Pesquisadores de cibersegurança detectaram recentemente novas atividades relacionadas a um backdoor e keylogger altamente modular. Chamado Solarmarker, a ameaça tem um estágio múltiplo, Carregador PowerShell fortemente ofuscado que executa o backdoor .NET.
Detalhes técnicos da porta traseira do Solarmarker
As atividades do marcador solar foram observadas de forma independente por pesquisadores em Crowdstrike e Cisco Talos. Ambas as empresas detectaram Solarmarker no ano passado, em outubro e setembro, respectivamente. Contudo, Talos diz que alguns dados de telemetria de DNS até apontam para abril 2020. Foi quando os pesquisadores descobriram três componentes DLL primários e múltiplas variantes apresentando comportamento semelhante.
relacionado: A operação Facefish: Linux direcionado por novo backdoor e rootkit
“O componente de teste do Solarmarker serve como o hub de execução central, facilitando as comunicações iniciais com os servidores C2 e permitindo que outros módulos maliciosos sejam descartados no host da vítima. Dentro de nossos dados observados, o stager é implantado como um conjunto .NET denominado “d” e uma única classe de execução chamada “m” (referido conjuntamente nesta análise como “d.m”),”Cisco Talos diz.
Como uma próxima etapa, o malware extrai vários arquivos para o “AppData Local Temp” diretório em execução, incluindo um arquivo TMP com o mesmo nome do arquivo original baixado, e um arquivo de script PowerShell (PS1), que inicia o resto da cadeia de execução.
“O processo de execução do arquivo TMP emite um comando PowerShell que carrega o conteúdo do script PS1 descartado e o executa antes de excluir o arquivo carregado. O blob binário resultante é então decodificado por XORing sua matriz de bytes com uma chave codificada e injetada na memória por meio de carregamento de conjunto reflexivo. o “corre” método do módulo contido “d.m” é então chamado para completar a infecção inicial,”De acordo com a descrição técnica do Talos.
Em um ataque típico, um stager será injetado na máquina da vítima para comunicações de comando e controle. Então, um segundo componente, conhecido como Jupyter, é injetado pelo stager. Jupyter, um módulo DLL, pode roubar vários tipos de dados pessoais, incluindo credenciais e envios de formulários de navegadores como Firefox e Chrome e diretórios de usuários.
“o Ladrão de informações Jupyter é o segundo módulo mais abandonado do Solarmarker. Durante a execução de muitas das amostras Solarmarker, observamos o C2 enviando uma carga útil PS1 adicional para o host da vítima,” de acordo com Cisco Talos.
“A campanha em andamento do Solarmarker e a família de malware associada são preocupantes. Foi inicialmente capaz de operar e evoluir ao longo de um período significativo de tempo, permanecendo relativamente não detectado,”Os pesquisadores observam na conclusão. Eles também esperam ver mais ações e desenvolvimento dos autores do Solarmarker, que provavelmente incluirão novas táticas e procedimentos para o malware.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: