Los investigadores de seguridad cibern\u00e9tica han revelado una nueva versi\u00f3n del malware SolarMarker que incluye nuevas mejoras con el objetivo de actualizar sus capacidades de evasi\u00f3n de defensa y permanecer bajo el radar.<\/p>\n
“La versi\u00f3n reciente demostr\u00f3 una evoluci\u00f3n de Windows Portable Executables (archivos EXE) a trabajar con archivos de paquete de instalaci\u00f3n de Windows (archivos MSI)”, investigadores de la Unidad 42 de Palo Alto Networks dicho<\/a> en un informe publicado este mes. “Esta campa\u00f1a a\u00fan est\u00e1 en desarrollo y vuelve a usar archivos ejecutables (EXE) como lo hac\u00eda en sus versiones anteriores”.<\/p>\n SolarMarker, tambi\u00e9n llamado Jupyter, aprovecha las t\u00e1cticas manipuladas de optimizaci\u00f3n de motores de b\u00fasqueda (SEO) como su principal vector de infecci\u00f3n. Es conocido por sus funciones de robo de informaci\u00f3n y puerta trasera, que permiten a los atacantes robar datos almacenados en navegadores web y ejecutar comandos arbitrarios recuperados de un servidor remoto.<\/p>\n En febrero de 2022, se observ\u00f3 a los operadores de SolarMarker usando trucos sigilosos del Registro de Windows para establecer una persistencia a largo plazo en sistemas comprometidos.<\/p>\n Los patrones de ataque en evoluci\u00f3n detectados por Unit 42 son una continuaci\u00f3n de este comportamiento, ya que las cadenas de infecci\u00f3n toman la forma de ejecutables de 250 MB para lectores de PDF y utilidades que se alojan en sitios web fraudulentos repletos de palabras clave y utilizan t\u00e9cnicas de SEO para clasificarlos m\u00e1s arriba en el ranking. Resultados de la b\u00fasqueda.<\/p>\n El gran tama\u00f1o del archivo no solo permite que el cuentagotas de la etapa inicial evite el an\u00e1lisis automatizado por parte de los motores antivirus, sino que tambi\u00e9n est\u00e1 dise\u00f1ado para descargar e instalar el programa leg\u00edtimo mientras, en segundo plano, activa la ejecuci\u00f3n de un instalador de PowerShell que implementa el malware SolarMarker.<\/p>\n Una carga \u00fatil basada en .NET, la puerta trasera SolarMarker est\u00e1 equipada con capacidades para realizar un reconocimiento interno y metadatos del sistema de vac\u00edo, todo lo cual se extrae al servidor remoto a trav\u00e9s de un canal cifrado.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Piratas-informaticos-iranies-utilizan-nuevo-malware-de-espionaje-que-abusa.png\")
<\/a><\/div>\n![\"Software](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650305860_144_Nueva-variante-de-malware-SolarMarker-que-utiliza-tecnicas-actualizadas-para.jpg\" "\\"Software")
<\/div>\n![\"Software](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650305860_312_Nueva-variante-de-malware-SolarMarker-que-utiliza-tecnicas-actualizadas-para.jpg\" "\\"Software")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n