El malware SolarMarker evoluciona para resistir los intentos de eliminación con una infraestructura de varios niveles.
Los actores de amenazas persistentes detrás del malware de robo de información SolarMarker han establecido una infraestructura de varios niveles para complicar los esfuerzos de eliminación de las fuerzas del orden, según muestran nuevos hallazgos de Recorded Future.
«El núcleo de las operaciones de SolarMarker es su infraestructura en capas, que consta de al menos dos grupos: uno primario para operaciones activas y otro secundario probablemente utilizado para probar nuevas estrategias o apuntar a regiones o industrias específicas», dijo la compañía en un informe publicado. la semana pasada.
«Esta separación mejora la capacidad del malware para adaptarse y responder a las contramedidas, lo que lo hace particularmente difícil de erradicar».
SolarMarker , conocido con los nombres Deimos, Jupyter Infostealer, Polazert y Yellow Cockatoo, es una amenaza sofisticada que ha mostrado una evolución continua desde su aparición en septiembre de 2020. Tiene la capacidad de robar datos de varios navegadores web y billeteras de criptomonedas, como así como configuraciones de VPN y RDP de destino.
Sectores a los que se dirige el malware
Entre los principales sectores verticales a los que se dirige se encuentran la educación, el gobierno, la atención médica, la hotelería y las pequeñas y medianas empresas, según los datos recopilados desde septiembre de 2023. Esto incluye universidades destacadas, departamentos gubernamentales, cadenas hoteleras globales y proveedores de atención médica. La mayoría de las víctimas se encuentran en Estados Unidos.
A lo largo de los años, los autores del malware han centrado sus esfuerzos de desarrollo en hacerlo más sigiloso mediante mayores tamaños de carga útil , el uso de certificados Authenticode válidos , cambios novedosos en el Registro de Windows y la capacidad de ejecutarlo directamente desde la memoria en lugar del disco.
En sitios de descarga falsos
Las vías de infección generalmente implican alojar SolarMarker en sitios de descarga falsos que anuncian software popular que una víctima puede visitar sin darse cuenta o debido a un envenenamiento por optimización de motores de búsqueda (SEO), o a través de un enlace en un correo electrónico malicioso.
Los droppers iniciales toman la forma de archivos ejecutables (EXE) y Microsoft Software Installer (MSI) que, cuando se inician, conducen a la implementación de una puerta trasera basada en .NET que es responsable de descargar cargas útiles adicionales para facilitar el robo de información.
Secuencias alternativas aprovechan los instaladores falsificados para eliminar una aplicación legítima (o un archivo señuelo), al mismo tiempo que inician un cargador de PowerShell para entregar y ejecutar la puerta trasera SolarMarker en la memoria.
Ataques del malware
Los ataques de SolarMarker durante el año pasado también implicaron la entrega de una puerta trasera hVNC basada en Delphi llamada SolarPhantom que permite controlar de forma remota una máquina víctima sin su conocimiento.
«En casos recientes, el actor de amenazas de SolarMarker ha alternado entre las herramientas Inno Setup y PS2EXE para generar cargas útiles», señaló la empresa de ciberseguridad eSentire en febrero de 2024.
Hace tan solo dos meses, se detectó una nueva versión PyInstaller del malware propagado utilizando un manual de lavavajillas como señuelo, según un investigador de malware que se hace llamar Squiblydoo y ha documentado ampliamente SolarMarker a lo largo de los años.
Hay evidencia que sugiere que SolarMarker es obra de un actor solitario de procedencia desconocida, aunque investigaciones previas de Morphisec han aludido a una posible conexión rusa.
El fruto de las investicaciones
La investigación de Recorded Future sobre las configuraciones de los servidores vinculados a los servidores de comando y control (C2) ha descubierto una arquitectura de varios niveles que forma parte de dos grandes grupos, uno de los cuales probablemente se utilice con fines de prueba o para apuntar a regiones o industrias específicas. .
La infraestructura en capas incluye un conjunto de servidores C2 de nivel 1 que están en contacto directo con las máquinas víctimas. Estos servidores se conectan a un servidor C2 de nivel 2 a través del puerto 443. Los servidores C2 de nivel 2 se comunican de manera similar con los servidores C2 de nivel 3 a través del puerto 443, y los servidores C2 de nivel 3 se conectan constantemente a los servidores C2 de nivel 4 a través del mismo puerto.
«El servidor de Nivel 4 se considera el servidor central de la operación, presumiblemente utilizado para administrar eficazmente todos los servidores descendentes a largo plazo», dijo la firma de ciberseguridad, y agregó que también observó que el servidor de Nivel 4 C2 se comunicaba con otro «servidor auxiliar». «a través del puerto 8033.
«Aunque se desconoce el propósito preciso de este servidor, especulamos que se utiliza para monitoreo, posiblemente sirviendo como control de estado o servidor de respaldo».