Os atores de ameaças persistentes por trás do malware de roubo de informações SolarMarker estabeleceram uma infraestrutura em múltiplas camadas para complicar os esforços de desativação pelas autoridades, mostram novas descobertas da Recorded Future.
"O núcleo das operações do SolarMarker é sua infraestrutura em camadas, que consiste em pelo menos dois agrupamentos: um primário para operações ativas e um secundário provavelmente usado para testar novas estratégias ou direcionar regiões ou indústrias específicas," disse a empresa em um relatório publicado na última semana.
Essa separação aumenta a capacidade do malware de se adaptar e responder a contramedidas, tornando-o particularmente difícil de erradicar.
O SolarMarker, conhecido pelos nomes Deimos, Jupyter Infostealer, Polazert e Yellow Cockatoo, é uma ameaça sofisticada que exibiu uma contínua evolução desde sua aparição em setembro de 2020.
Ele tem a capacidade de roubar dados de vários navegadores de internet e carteiras de criptomoedas, assim como mirar em configurações de VPN e RDP.
Entre os principais setores visados estão educação, governo, saúde, hospitalidade e pequenas e médias empresas, conforme dados coletados desde setembro de 2023.
Isso inclui universidades de renome, departamentos governamentais, cadeias globais de hotéis e provedores de saúde.
A maioria das vítimas está localizada nos EUA.
Ao longo dos anos, os autores do malware focaram seus esforços de desenvolvimento em torná-lo mais furtivo por meio do aumento do tamanho dos payloads, uso de certificados Authenticode válidos, mudanças inovadoras no Registro do Windows e a habilidade de rodá-lo diretamente da memória ao invés do disco.
Os caminhos de infecção geralmente envolvem hospedar o SolarMarker em sites fraudulentos de download anunciando softwares populares que podem ser visitados pela vítima inadvertidamente ou devido a envenenamento de otimização de mecanismo de busca (SEO) ou por meio de um link em um email malicioso.
Os inicializadores iniciais tomam a forma de executáveis (EXE) e arquivos Microsoft Software Installer (MSI) que, quando lançados, levam ao desdobramento de um backdoor baseado em .NET responsável por baixar payloads adicionais para facilitar o roubo de informações.
Sequências alternativas se aproveitam dos instaladores falsificados para soltar uma aplicação legítima (ou um arquivo isca), enquanto lançam simultaneamente um carregador PowerShell para entregar e executar o backdoor do SolarMarker na memória.
Ataques do SolarMarker ao longo do último ano também envolveram a entrega de um backdoor baseado em Delphi chamado SolarPhantom que permite o controle remoto de uma máquina da vítima sem seu conhecimento.
"Em casos recentes, o ator de ameaça do SolarMarker alternou entre as ferramentas Inno Setup e PS2EXE para gerar payloads," notou a empresa de cibersegurança eSentire em fevereiro de 2024.
Há até dois meses, uma nova versão do malware PyInstaller foi avistada na natureza sendo propagada usando um manual de lava-louças como isca, de acordo com um pesquisador de malware que usa o nome Squiblydoo e documentou extensivamente o SolarMarker ao longo dos anos.
Há evidências que sugerem que o SolarMarker é obra de um ator solitário de proveniência desconhecida, embora pesquisas anteriores da Morphisec tenham aludido a uma possível conexão russa.
A investigação da Recorded Future sobre as configurações de servidor ligadas aos servidores de comando e controle (C2) descobriu uma arquitetura em múltiplas camadas que faz parte de dois grandes agrupamentos, um dos quais é provavelmente usado para fins de teste ou para direcionar regiões ou indústrias específicas.
A infraestrutura em camadas inclui um conjunto de servidores C2 Nível 1 que estão em contato direto com as máquinas das vítimas.
Esses servidores se conectam a um servidor C2 Nível 2 via porta 443.
Servidores C2 Nível 2, da mesma forma, se comunicam com servidores C2 Nível 3 via porta 443, e servidores C2 Nível 3 se conectam consistentemente a servidores C2 Nível 4 pela mesma porta.
"O servidor Nível 4 é considerado o servidor central da operação, presumivelmente usado para administrar efetivamente todos os servidores a jusante a longo prazo," disse a empresa de cibersegurança, acrescentando que também observou o servidor C2 Nível 4 se comunicando com outro "servidor auxiliar" pela porta 8033.
Embora o propósito exato deste servidor permaneça desconhecido, especula-se que seja usado para monitoramento, possivelmente servindo como um servidor de verificação de saúde ou backup.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...