Les secteurs de la santé et de l’éducation sont les cibles fréquentes d’une nouvelle augmentation de l’activité de collecte d’informations d’identification à partir de ce qui est un voleur d’informations et enregistreur de frappe « hautement modulaire » basé sur .NET, traçant la voie à suivre pour l’évolution continue de l’acteur de la menace tout en restant simultanément sous le radar.
Surnommé « Marqueur solaire« , la campagne de logiciels malveillants serait active depuis septembre 2020, avec des données de télémétrie pointant vers des actions malveillantes dès avril 2020, selon Cisco Talos. » À la base, la campagne Solarmarker semble être menée par un acteur assez sophistiqué en grande partie axé sur le vol d’informations d’identification et d’informations résiduelles », les chercheurs de Talos Andrew Windsor et Chris Neal mentionné dans un article technique publié la semaine dernière.
Les infections se composent de plusieurs pièces mobiles, la principale étant un module d’assemblage .NET qui sert de profileur de système et de base sur l’hôte victime pour les communications de commande et de contrôle (C2) et d’autres actions malveillantes, y compris le déploiement d’informations. voler des composants comme Jupyter et Uran (probablement une référence à Uranus).
Alors que le premier se vante de pouvoir voler des données personnelles, des informations d’identification et des valeurs de soumission de formulaire à partir des navigateurs Firefox et Google Chrome de la victime, le dernier – une charge utile non signalée auparavant – agit comme un enregistreur de frappe pour capturer les frappes de l’utilisateur.
Le regain d’activité s’est également accompagné d’un changement de tactique et de multiples itérations de la chaîne d’infection, alors même que l’acteur de la menace s’est accroché à l’astuce séculaire de l’empoisonnement du référencement, qui fait référence à l’abus de l’optimisation des moteurs de recherche (SEO) pour gagnez plus d’attention et de traction sur les sites malveillants ou rendez leurs fichiers de compte-gouttes très visibles dans les résultats des moteurs de recherche.
« Les opérateurs du malware connu sous le nom de SolarMarker, Jupyter, [and] d’autres noms visent à trouver un nouveau succès en utilisant une ancienne technique : l’empoisonnement du référencement », l’équipe Microsoft Security Intelligence divulgué en juin. « Ils utilisent des milliers de documents PDF remplis de mots-clés et de liens SEO qui démarrent une chaîne de redirections menant finalement au malware.
L’analyse statique et dynamique des artefacts de Solarmarker par Talos pointe vers un adversaire russophone, bien que le groupe de renseignement sur les menaces soupçonne que les créateurs de logiciels malveillants pourraient les avoir conçus intentionnellement de cette manière dans le but de tromper l’attribution.
« L’acteur derrière la campagne Solarmarker possède des capacités modérées à avancées », ont conclu les chercheurs. « Maintenir la quantité d’infrastructures interconnectées et tournantes et générer une quantité apparemment illimitée de fichiers de compte-gouttes initiaux nommés différemment nécessite des efforts substantiels. »
« L’acteur fait également preuve de détermination à assurer la poursuite de sa campagne, telle que la mise à jour des méthodes de cryptage pour la communication C2 dans la DLL de Mars après que les chercheurs aient publiquement sélectionné les composants précédents du malware, en plus de la stratégie plus typique de recyclage. l’infrastructure C2 héberge. ».
