0
0
Ladrão de informações e backdoor SolarMarker usa truques furtivos do “Registro” do Windows para estabelecer persistência de longo prazo em sistemas comprometidos
Um indicador de que os operadores de ameaças mudam continuamente de tática e atualizam as técnicas defensivas contra detecção pôde ser confirmado pelos pesquisadores da empresa de segurança cibernética Sophos ao rastrear o grupo de hackers que opera o SolarMarker, um ladrão de informações e backdoor que tem usado truques furtivos do “Registro” do Windows para estabelecer persistência de longo prazo em sistemas comprometidos.
Os pesquisadores, que detectaram o novo comportamento, disseram que os implantes de acesso remoto ainda estão sendo notados em redes direcionadas, apesar da campanha ter registrado um declínio em novembro de 2021.
Com recursos de coleta de informações e backdoor, o malware baseado em .NET foi vinculado a ao menos três ondas de ataques diferentes no ano passado. O primeiro conjunto, relatado em abril, utilizou as técnicas de envenenamento de mecanismos de buscas para induzir os profissionais de negócios a visitar o Google e instalou o SolarMarker nas máquinas das vítimas. Em agosto, o malware foi observado visando os setores de saúde e educação com o objetivo de coletar credenciais e informações confidenciais. As cadeias de infecção subsequentes documentadas pela Morphisec em setembro destacaram o uso de instaladores MSI (Microsoft Installer) para garantir a entrega do malware.
O modus operandi do SolarMarker começa com o redirecionamento das vítimas para sites chamariz que descartam as cargas úteis do instalador MSI, que, ao executar programas de instalação aparentemente legítimos, como Adobe Acrobat Pro DC, Wondershare PDFelement ou Nitro Pro, também lança um script PowerShell para implantar o malware.
“Esses esforços de SEO (Search Engine Optimization), que alavancaram uma combinação de discussões do Google Groups e páginas da web enganosas e documentos PDF hospedados em sites comprometidos (geralmente WordPress), foram tão eficazes que as iscas SolarMarker geralmente estavam no topo ou perto do topo dos resultados de buscas para frases do SolarMarker das vítimas visadas”, disseram os pesquisadores da Sophos Gabor Szappanos e Sean Gallagher em um relatório compartilhado com o The Hacker News.
O instalador do PowerShell foi projetado para alterar o “Registro” do Windows e descarregar um arquivo .LNK no diretório de inicialização do Windows para estabelecer a persistência. Essa alteração não autorizada resulta no carregamento do malware a partir de uma carga criptografada escondida entre o que os pesquisadores chamaram de “cortina de fumaça” de 100 a 300 arquivos indesejados criados especificamente para essa finalidade.
“Normalmente, seria de se esperar que esse arquivo vinculado fosse um arquivo executável ou de script”, detalharam os pesquisadores. “Mas, para essas campanhas do SolarMarker, o arquivo vinculado é um dos arquivos inúteis aleatórios e não pode ser executado sozinho.”
Além disso, a extensão de arquivo exclusiva e aleatória usada para o arquivo de lixo vinculado é utilizada para criar uma chave de arquivo personalizada, que é empregada para executar o malware durante a inicialização do sistema executando um comando do PowerShell no “Registro”.
A backdoor, por sua vez, está em constante evolução, apresentando uma série de funcionalidades que permitem roubar informações de navegadores da web, facilitar o roubo de criptomoedas e executar comandos e binários arbitrários, cujos resultados são exfiltrados de volta para um servidor remoto.
“Outra importante descoberta […], que também foi vista nas vulnerabilidades do ProxyLogon direcionadas aos servidores Exchange, é que os defensores devem sempre verificar se os invasores deixaram algo para trás na rede para a qual possam retornar mais tarde”, disse Gallagher.
FONTE: CISO ADVISOR