Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9voil\u00e9 une nouvelle version du malware SolarMarker qui int\u00e8gre de nouvelles am\u00e9liorations dans le but de mettre \u00e0 jour ses capacit\u00e9s d’\u00e9vasion de la d\u00e9fense et de rester sous le radar.<\/p>\n
“La version r\u00e9cente a d\u00e9montr\u00e9 une \u00e9volution des ex\u00e9cutables portables de Windows (fichiers EXE) vers l’utilisation des fichiers de package d’installation de Windows (fichiers MSI)”, chercheurs de l’unit\u00e9 42 de Palo Alto Networks mentionn\u00e9<\/a> dans un rapport publi\u00e9 ce mois-ci. “Cette campagne est toujours en d\u00e9veloppement et revient \u00e0 l’utilisation de fichiers ex\u00e9cutables (EXE) comme elle le faisait dans ses versions pr\u00e9c\u00e9dentes.”<\/p>\n SolarMarker, \u00e9galement appel\u00e9 Jupyter, utilise des tactiques d’optimisation des moteurs de recherche (SEO) manipul\u00e9es comme principal vecteur d’infection. Il est connu pour ses fonctionnalit\u00e9s de vol d’informations et de porte d\u00e9rob\u00e9e, permettant aux attaquants de voler des donn\u00e9es stock\u00e9es dans des navigateurs Web et d’ex\u00e9cuter des commandes arbitraires r\u00e9cup\u00e9r\u00e9es \u00e0 partir d’un serveur distant.<\/p>\n En f\u00e9vrier 2022, les op\u00e9rateurs de SolarMarker ont \u00e9t\u00e9 observ\u00e9s en train d’utiliser des astuces furtives du registre Windows pour \u00e9tablir une persistance \u00e0 long terme sur des syst\u00e8mes compromis.<\/p>\n Les mod\u00e8les d’attaque en \u00e9volution rep\u00e9r\u00e9s par l’unit\u00e9 42 sont une continuation de ce comportement, avec les cha\u00eenes d’infection prenant la forme d’ex\u00e9cutables de 250 Mo pour les lecteurs PDF et les utilitaires qui sont h\u00e9berg\u00e9s sur des sites Web frauduleux remplis de mots cl\u00e9s et utilisent des techniques de r\u00e9f\u00e9rencement pour les classer plus haut dans le R\u00e9sultats de recherche.<\/p>\n La grande taille du fichier permet non seulement au compte-gouttes de l’\u00e9tape initiale d’\u00e9viter l’analyse automatis\u00e9e par les moteurs antivirus, mais il est \u00e9galement con\u00e7u pour t\u00e9l\u00e9charger et installer le programme l\u00e9gitime tandis qu’en arri\u00e8re-plan, il active l’ex\u00e9cution d’un programme d’installation PowerShell qui d\u00e9ploie le logiciel malveillant SolarMarker.<\/p>\n Une charge utile bas\u00e9e sur .NET, la porte d\u00e9rob\u00e9e SolarMarker est \u00e9quip\u00e9e de capacit\u00e9s pour effectuer une reconnaissance interne et des m\u00e9tadonn\u00e9es du syst\u00e8me de vide, qui sont toutes exfiltr\u00e9es vers le serveur distant via un canal crypt\u00e9.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Avertissement-\u2014-Deadbolt-Ransomware-ciblant-les-peripheriques-NAS-ASUSTOR.png\")
<\/a><\/div>\n![\"Logiciel](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650308413_902_Nouvelle-variante-du-logiciel-malveillant-SolarMarker-utilisant-des-techniques-mises.jpg\" "\\"Logiciel")
<\/div>\n![\"Logiciel](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650308413_768_Nouvelle-variante-du-logiciel-malveillant-SolarMarker-utilisant-des-techniques-mises.jpg\" "\\"Logiciel")
<\/div>\n
![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n