1. Alertas de Seguridad
  2. Solarmarker Malware emerge como un potente InfoStealer y Keylogger

Solarmarker Malware emerge como un potente InfoStealer y Keylogger

Fecha de publicación: Lun, 02/08/2021 - 11:17

Descripción

Solarmaker es una herramienta maliciosa multipropósito que tiene funcionalidad RAT, backdoor, infostealer y keylogger.

El malware se distribuye principalmente a través de páginas infectadas y falsos sitios web de descarga gratuita.

Para realizar las funcionalidades encontradas, el malware ha presentado dos modificaciones. El primero es la sustitución del módulo de creación de perfiles del sistema “D.M” por otro denominado “Mars”. El componente introducido básicamente allana el camino para el segundo componente “Jupyter”. Además es responsable de eliminar todos los archivos posteriores en el sistema de la víctima y la ejecución de los procesos.

Considerando que “Jupyter” básicamente sirve como un ladrón de información, como el robo de credenciales e información escrita en formularios en línea.

Al robar los datos, el malware envía la información a su C&C a través de solicitudes HTTP POST.
Además los investigadores notaron otro módulo no identificado previamente llamado “Uran” que actúa como un keylogger.

Productos afectados

Dispositivos que hayan descargado PDF’s afectados por el malware Solarmarker.

Mitigación

Los investigadores creen que mitigar los ataques de este malware no es difícil, ya que requiere las acciones de los usuarios para descargar y ejecutar el archivo malicioso. Por lo tanto, las organizaciones pueden garantizar la capacitación de su personal en la conciencia de la seguridad cibernética para identificar tales amenazas.

Utilizar aplicaciones de autenticación multifactor en las cuentas pueden reducir significativamente los ataques de hacking incluso en caso de robo de contraseñas.

Indicadores de compromiso

Se deben verificar las siguientes rutas para verificar si se descargo el archivo malicioso y si está en ejecución:

  • %temp%\<random chars>.txt
  • %AppData%\microsoft\<RND4>\<RND8>.cmd
  • %AppData%\microsoft\<RND4>\<RND52>
  • %temp%\<RDN24>.ps1
  • %userprofile%\AppData\Roaming\solarmarker.dat

Verificar en su red:

  • http[:]//45.135.232[.]131 (puerta trasera SolarMaker)
  • http[:]//vicentolife[.]com/j (SolarMaker Stealer C2)

Recomendación

La implementación periódica de análisis de vulnerabilidades y pruebas de penetración a través de profesionales ayudará a evitar este tipo de problemas.

Al igual que con muchos otros programas maliciosos, la mejor manera de evitar Solarmaker es evitar todas y cada una de las descargas sospechosas.

Referencias

https://thehackernews.com/2021/08/solarmarker-infostealer-malware-once.html
https://www.crowdstrike.com/blog/solarmarker-backdoor-technical-analysis/