El malware SolarMarker pone en riesgo a los usuarios

El malware distribuido en esta campaña es SolarMarker (también conocido como Jupyter, Polazert y Yellow Cockatoo), .NET RAT, que se ejecuta en la memoria y los atacantes lo utilizan para reducir otras cargas útiles en el dispositivo. infectado.

SolarMarker está diseñado para proporcionar a su propietario una puerta trasera para atacar sistemas infectados y robar credenciales de navegadores web.

Los datos que logra recolectar del sistema infectado son transferidos al servidor de administración y control. También se infiltrará en la carpeta de inicio y cambiará los accesos directos en la computadora de la víctima.

En abril, los investigadores de eSentire descubrieron que las amenazas detrás de SolarMarker inundaron los resultados de búsqueda con más de 100 000 sitios web que afirmaban ofrecer formularios comerciales gratuitos (como facturas), cuestionarios, recibos y currículos.

En cambio, serán una trampa para los minoristas que buscan plantillas de documentos y, sin saberlo, infectarán SolarMarker RAT con descargas de disco y redireccionarán las búsquedas a través de Shopify y Google.

En un ataque reciente de Microsoft, los atacantes recurrieron a documentos llenos de palabras clave alojados por AWS y Strikingly. Actualmente se están enfocando en otras áreas, incluidas las finanzas y la educación.

"Los usuarios usan miles de documentos PDF con palabras clave y enlaces SEO que redirigen al malware. El ataque utiliza documentos PDF diseñados para clasificar los resultados de búsqueda. Para lograr esto, los atacantes llenaron estos documentos con más de 10 páginas de palabras clave sobre una variedad de temas, desde "póliza de seguro", "aprobación de contrato", "cómo ingresar SQL" hasta "respuesta matemática".

Figura 1 del malware SolarMarker que pone en riesgo a los usuarios

Cuando las víctimas encuentren uno de los PDF maliciosos y lo abran, se les pedirá que descarguen otro archivo PDF o DOC con un documento que contenga la información que buscan. En lugar de obtener acceso a la información, fueron redirigidos a un clon de Google Drive que contenía malware SolarMarker a través de varios sitios que usaban dominios de nivel superior .site, .tk y .ga.

Los investigadores de Morphisec han descubierto que muchos de los servidores de malware de C2 están ubicados en Rusia, aunque muchos ya no están operativos.

"Después de la infiltración de SolarMarker, la TRU no vio el objetivo, pero sospechó de cualquier posibilidad, incluido ransomware, robo de identidad, fraude o como un medio para espiar o infiltrarse en la red de la víctima", agregó la Unidad de Respuesta a Amenazas (TRU) de eSentire. .

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!