Les chercheurs en cybersécurité ont dévoilé une nouvelle version du malware SolarMarker qui intègre de nouvelles améliorations dans le but de mettre à jour ses capacités d’évasion de la défense et de rester sous le radar.
« La version récente a démontré une évolution des exécutables portables de Windows (fichiers EXE) vers l’utilisation des fichiers de package d’installation de Windows (fichiers MSI) », chercheurs de l’unité 42 de Palo Alto Networks mentionné dans un rapport publié ce mois-ci. « Cette campagne est toujours en développement et revient à l’utilisation de fichiers exécutables (EXE) comme elle le faisait dans ses versions précédentes. »
SolarMarker, également appelé Jupyter, utilise des tactiques d’optimisation des moteurs de recherche (SEO) manipulées comme principal vecteur d’infection. Il est connu pour ses fonctionnalités de vol d’informations et de porte dérobée, permettant aux attaquants de voler des données stockées dans des navigateurs Web et d’exécuter des commandes arbitraires récupérées à partir d’un serveur distant.
En février 2022, les opérateurs de SolarMarker ont été observés en train d’utiliser des astuces furtives du registre Windows pour établir une persistance à long terme sur des systèmes compromis.
Les modèles d’attaque en évolution repérés par l’unité 42 sont une continuation de ce comportement, avec les chaînes d’infection prenant la forme d’exécutables de 250 Mo pour les lecteurs PDF et les utilitaires qui sont hébergés sur des sites Web frauduleux remplis de mots clés et utilisent des techniques de référencement pour les classer plus haut dans le Résultats de recherche.
La grande taille du fichier permet non seulement au compte-gouttes de l’étape initiale d’éviter l’analyse automatisée par les moteurs antivirus, mais il est également conçu pour télécharger et installer le programme légitime tandis qu’en arrière-plan, il active l’exécution d’un programme d’installation PowerShell qui déploie le logiciel malveillant SolarMarker.
Une charge utile basée sur .NET, la porte dérobée SolarMarker est équipée de capacités pour effectuer une reconnaissance interne et des métadonnées du système de vide, qui sont toutes exfiltrées vers le serveur distant via un canal crypté.
L’implant fonctionne également comme un conduit pour déployer le module de vol d’informations du SolarMarker sur la machine victime. Le voleur, pour sa part, peut siphonner les données de remplissage automatique, les cookies, les mots de passe et les informations de carte de crédit des navigateurs Web.
« Le logiciel malveillant investit des efforts considérables dans l’évasion de la défense, qui consiste en des techniques telles que des fichiers signés, des fichiers volumineux, l’usurpation d’identité d’installations logicielles légitimes et des scripts PowerShell obscurcis », ont déclaré les chercheurs.