Solarmarker InfoStealer Malware Sekali Lagi Membuat Jalan ke Alam Liar

  • Whatsapp
Solarmarker InfoStealer Malware Sekali Lagi Membuat Jalan ke Alam Liar

Sektor kesehatan dan pendidikan sering menjadi target lonjakan baru dalam aktivitas pengumpulan kredensial dari apa yang disebut sebagai pencuri informasi dan keylogger berbasis .NET yang “sangat modular”, memetakan arah evolusi lanjutan aktor ancaman sekaligus tetap berada di bawah radar.

Dijuluki “Penanda surya, “kampanye malware diyakini aktif sejak September 2020, dengan data telemetri menunjuk ke tindakan jahat pada awal April 2020, menurut Cisco Talos. “Pada intinya, kampanye Solarmarker tampaknya dilakukan oleh aktor yang cukup canggih sebagian besar berfokus pada pencurian informasi kredensial dan residual,” peneliti Talos Andrew Windsor dan Chris Neal dikatakan dalam penulisan teknis yang diterbitkan minggu lalu.

Bacaan Lainnya

Tim Stack Overflow

Infeksi terdiri dari beberapa bagian yang bergerak, yang utama di antaranya adalah modul perakitan .NET yang berfungsi sebagai profiler sistem dan tempat pementasan pada host korban untuk komunikasi perintah-dan-kontrol (C2) dan tindakan jahat lebih lanjut, termasuk penyebaran informasi- mencuri komponen seperti Jupyter dan Uran (kemungkinan referensi ke Uranus).

Sementara yang pertama membanggakan kemampuan untuk mencuri data pribadi, kredensial, dan nilai pengiriman formulir dari browser Firefox dan Google Chrome korban, yang terakhir – muatan yang sebelumnya tidak dilaporkan – bertindak sebagai keylogger untuk menangkap penekanan tombol pengguna.

Aktivitas yang diperbarui juga disertai dengan pergeseran taktik dan beberapa iterasi ke rantai infeksi, bahkan ketika pelaku ancaman menggunakan trik kuno keracunan SEO, yang mengacu pada penyalahgunaan optimasi mesin pencari (SEO) untuk dapatkan lebih banyak perhatian dan daya tarik ke situs jahat atau buat file penetesnya sangat terlihat di hasil mesin telusur.

“Operator malware yang dikenal sebagai SolarMarker, Jupyter, [and] nama lain bertujuan untuk menemukan kesuksesan baru menggunakan teknik lama: keracunan SEO,” tim Intelijen Keamanan Microsoft diungkapkan pada bulan Juni. “Mereka menggunakan ribuan dokumen PDF yang diisi dengan kata kunci dan tautan SEO yang memulai rantai pengalihan yang akhirnya mengarah ke malware.

Mencegah Serangan Ransomware

Analisis statis dan dinamis Talos terhadap artefak Solarmarker menunjuk ke musuh berbahasa Rusia, meskipun kelompok intelijen ancaman mencurigai pembuat malware dapat dengan sengaja merancangnya sedemikian rupa dalam upaya untuk menyesatkan atribusi.

“Aktor di balik kampanye Solarmarker memiliki kemampuan sedang hingga mahir,” para peneliti menyimpulkan. “Mempertahankan jumlah infrastruktur yang saling berhubungan dan berputar dan menghasilkan jumlah file penetes awal yang tampaknya tidak terbatas membutuhkan upaya yang substansial.”

“Aktor tersebut juga menunjukkan tekad dalam memastikan kelanjutan kampanye mereka, seperti memperbarui metode enkripsi untuk komunikasi C2 di DLL Mars setelah para peneliti secara terbuka memilih komponen malware sebelumnya, di samping strategi yang lebih khas untuk keluar dari sistem. host infrastruktur C2.”.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *