Home Sociedad Una nueva variante del malware SolarMarker utiliza técnicas actualizadas para pasar inadvertido

Una nueva variante del malware SolarMarker utiliza técnicas actualizadas para pasar inadvertido

Investigadores de ciberseguridad han revelado una nueva versión del malware SolarMarker que incorpora nuevas mejoras con el objetivo de actualizar sus capacidades de evasión de la defensa y permanecer bajo el radar.

SolarMarker, también llamado Jupyter, aprovecha las tácticas manipuladas de optimización de motores de búsqueda (SEO) como su principal vector de infección. Es conocido por sus funciones de robo de información y puerta trasera, que permiten a los atacantes robar datos almacenados en los navegadores web y ejecutar comandos arbitrarios recuperados de un servidor remoto.

En febrero de 2022, se observó que los operadores de SolarMarker utilizaban trucos sigilosos del Registro de Windows para establecer una persistencia a largo plazo en los sistemas comprometidos.

Los patrones de ataque en evolución detectados por la Unidad 42 son una continuación de este comportamiento, ya que las cadenas de infección adoptan la forma de ejecutables de 250 MB para lectores de PDF y utilidades que se alojan en sitios web fraudulentos repletos de palabras clave y utilizan técnicas de SEO para posicionarlos mejor en los resultados de búsqueda.

El gran tamaño del archivo no sólo permite que el dropper de la etapa inicial evite el análisis automático de los motores antivirus, sino que también está diseñado para descargar e instalar el programa legítimo mientras, en segundo plano, activa la ejecución de un instalador PowerShell que despliega el malware SolarMarker.

El backdoor SolarMarker, una carga útil basada en .NET, está equipado con capacidades para realizar reconocimientos internos y aspirar metadatos del sistema, todo lo cual se exfiltra al servidor remoto a través de un canal cifrado.

El implante también funciona como un conducto para desplegar el módulo de robo de información de SolarMarker en la máquina víctima. Por su parte, el robador puede desviar datos de autorrelleno, cookies, contraseñas e información de tarjetas de crédito de los navegadores web.