Andrew Windsor e Chris Neal, pesquisadores da Cisco Talos, alertam para uma nova atividade do malware Solarmarker, um ladrão de informações e keylogger baseado em .NET que eles chamaram de “altamente modular”. Os pesquisadores explicaram que a campanha Solarmarker está sendo conduzida por atores “bastante sofisticados”, concentrando sua energia no roubo de informações residuais e de credenciais.
Outras pistas, como o componente de linguagem alvo do keylogger, indicam que o ciberataque tem interesse em organizações europeias ou não pode processar texto em qualquer outro idioma que não seja russo, alemão e inglês.
“Independentemente disso, eles não são específicos ou excessivamente cuidadosos com relação a quais vítimas estão infectadas com seu malware. Durante este aumento recente na campanha, Talos observou os setores de saúde, educação e governos municipais sendo visados ??com mais frequência”, disse o relatório. .
“Esses setores foram seguidos por um grupo menor de organizações de manufatura, junto com algumas organizações individuais em instituições religiosas, serviços financeiros e construção/engenharia. Apesar do que parece ser uma concentração de vitimologia entre algumas verticais, avaliamos com confiança moderada que esta campanha não tem como alvo nenhum setor específico, pelo menos não intencionalmente.”
Envenenamento de SEO
O relatório acrescentou que os pesquisadores da Microsoft acreditam que a campanha do Solarmarker está usando envenenamento de SEO para tornar seus arquivos dropper altamente visíveis nos resultados de pesquisas, potencialmente distorcendo “quais tipos de organizações podem encontrar os arquivos maliciosos, dependendo do que é topicamente popular.”
Os pesquisadores do Talos alertaram as organizações para procurar o malware porque os módulos observados mostram que as vítimas são vulneráveis ??ao “roubo de informações confidenciais, não apenas do uso do navegador de seus funcionários individuais, como se eles digitassem o número do cartão de crédito ou outras informações pessoais, mas também aqueles essenciais para a segurança da organização, particularmente as credenciais.”
Pesquisadores da Cisco alertam para malware Solarmarker
A Cisco observou que o malware era usado anteriormente com “dm”, mas agora está sendo usado com o módulo de teste “Mars”. Os pesquisadores também descobriram outro módulo, anteriormente não relatado, que chamaram de “Urano”.
“O Talos está rastreando ativamente uma campanha de malware com o roubo de informações Solarmarker que remonta a setembro de 2020, disse o relatório. variantes que utilizam comportamento semelhante.”
De acordo com o estudo, os invasores normalmente injetam um stager no host da vítima para comunicações de comando e controle e outras ações maliciosas antes que um segundo componente chamado “Jupyter” seja observado sendo injetado pelo stager.
Quando os analistas da Cisco examinaram o módulo DLL, denominado “Jupyter”, eles descobriram que ele é capaz de roubar informações pessoais, credenciais e valores de envio de formulário da instalação do Firefox e do Chrome da vítima e dos diretórios de usuário.
Modus operandi
O módulo usa solicitações HTTP POST para enviar informações ao seu servidor C2. Os invasores usaram uma variedade de medidas – como incluir o sinalizador “CurrentUser” para o argumento do escopo de proteção de dados na chamada do método “Desproteger” – para complicar as tentativas de descriptografar ou analisar os dados brutos que vão entre a vítima e o servidor C2.
“O ladrão de informações Jupyter é o segundo módulo mais descartado do Solarmarker. Durante a execução de muitas das amostras do Solarmarker, observamos o C2 enviando uma carga útil PS1 adicional para o host da vítima”, disse o relatório.
“As respostas do C2 são codificadas da mesma maneira que o objeto JSON que contém as informações do sistema da vítima. Depois de reverter a codificação base64 e XOR, ele grava esse fluxo de bytes em um arquivo PS1 no disco, executa-o e, subsequentemente, exclui o arquivo. Este novo script do PowerShell contém uma DLL .NET codificada em base64, que também foi injetada por meio do carregamento de assembly reflexivo do .NET.”
Os analistas observaram que o stager possui formulário de navegador e outras capacidades de roubo de informações. Os invasores também usam um keylogger chamado “Uran”, que foi descoberto em campanhas mais antigas.
“O componente de teste do Solarmarker serve como um hub de execução central, facilitando as comunicações iniciais com os servidores C2 e permitindo que outros módulos maliciosos sejam inseridos no host da vítima”, explicou o relatório.
“Em nossos dados observados, o stager é implantado como um assembly .NET denominado ‘d’ e uma única classe de execução chamada ‘m’ (denominada conjuntamente nesta análise como ‘d.m’). O malware extrai vários arquivos para o diretório ‘AppData \ Local \ Temp’ do host da vítima na execução, incluindo um arquivo TMP com o mesmo nome do arquivo original baixado e um arquivo de script PowerShell (PS1), a partir do qual o restante da cadeia de execução é gerado.”
Nome do ataque
O nome do ataque vem do arquivo “AppData\Roaming\solarmarker.dat”, que segundo o relatório serve como uma etiqueta de identificação do host da vítima.
A investigação levou os pesquisadores a uma “segunda carga útil potencial anteriormente não relatada”, chamada “Uranus”, que eles dizem ser derivada do arquivo “Uran.PS1” que está hospedado na infraestrutura do Solarmarker em “on-offtrack [.] Biz /get/uran.ps1. ”
O malware keylogger usa uma variedade de ferramentas dentro da API .NET runtime para fazer coisas como capturar os pressionamentos de tecla do usuário e metadados relevantes.
“Por exemplo, ele procurará idiomas de entrada disponíveis e layouts de teclado instalados no host da vítima e anexará seus códigos ISO de duas letras como atributos adicionais aos dados de keylog coletados. Curiosamente, neste caso, o ator verifica especificamente se há caracteres em alemão e russo conjuntos, antes de padronizar para um rótulo inglês, disse o relatório.
“A extração está configurada para ocorrer a cada 10.000 segundos usando uma chamada de espera de thread para atrasar o loop de evento do Uranus. Este módulo também usa solicitações HTTP POST como seu método principal de comunicação com a infraestrutura C2 do Solarmarker.”
Solarmaker e variantes
Os pesquisadores notaram que o fluxo geral de execução do Solarmarker não mudou muito entre as variantes. Na maioria dos casos, os invasores querem instalar uma porta dos fundos, mas os pesquisadores do Talos disseram que por volta do final de maio, eles começaram a notar “surtos de nova atividade do Solarmarker” em sua telemetria.
A versão mais recente apresenta um método de download ajustado do parent dropper inicial, bem como atualizações para um novo componente de teste chamado “Mars”.
Durante nossa pesquisa sobre atividades de campanha anteriores, Talos inicialmente acreditava que as vítimas estavam baixando arquivos PE maliciosos do Solarmarker por meio de páginas de compartilhamento de arquivos falsos e de aparência genérica hospedadas em serviços de site gratuitos, mas muitas das contas fictícias se tornaram inativas desde o momento em que encontramos os nomes de arquivos usados ??pelos droppers do Solarmarker em nossa telemetria e tentando encontrar seus URLs de download, escreveram os pesquisadores da Cisco.
Esse método de entrega foi corroborado posteriormente por analistas de malware terceirizados em seus próprios relatórios sobre o Solarmarker. Por exemplo, vimos várias páginas de download hospedadas em contas suspeitas no Google Sites. Esses links direcionam a vítima para uma página que oferece a capacidade de baixe o arquivo como um arquivo PDF ou Microsoft Word. Seguir o link de download envia a vítima através de vários redirecionamentos em vários domínios antes de chegar à página de download final.
Esta metodologia geral não mudou, muitos dos nomes de arquivos principais encontrados em nosso a telemetria pode ser encontrada em páginas da web suspeitas hospedadas no Google Sites, embora o ator tenha mudado um pouco suas páginas finais de isca.
Os invasores fizeram melhorias significativas na página final de download em um esforço para torná-la mais legítima.
A versão mais recente também inclui um programa chamariz, PDFSam, que é “executado em conjunto com o resto da inicialização do Solarmarker para atuar como um erro de direcionamento para a vítima ao tentar parecer um documento legítimo”.
Embora haja algumas evidências no relatório de que falantes de russo criaram o Solarmarker, os pesquisadores disseram que não há evidências suficientes para atribuir alta confiança à atribuição.
O relatório sugere que as organizações educem os usuários sobre os perigos de baixar arquivos perigosos, bem como uma série de outras medidas destinadas a limitar ou bloquear a execução de vários scripts do Solarmarker.
“Esperamos que o ator por trás do Solarmarker continue a refinar seu malware e ferramentas, bem como alternar sua infraestrutura C2, a fim de prolongar sua campanha no futuro previsível”, acrescentou o relatório.
Via ZDNet