Los investigadores detectan una nueva campaña de malware que impulsa a Solarmarker
Los investigadores de seguridad de Cisco Talos han detectado y examinado una nueva campaña maliciosa que utiliza el malware Solarmarker. Según la investigación, la nueva campaña está dirigida por actores de amenazas experimentados y sofisticados.
Solarmarker es una herramienta maliciosa multipropósito que tiene funcionalidad RAT, backdoor, infostealer y keylogger. No se ha utilizado en una campaña orquestada más grande en los últimos meses, lo que llevó a Cisco a centrarse más de cerca en este último impulso.
Al separar el componente keylogger de Solarmarker en esta campaña específica, se reveló que muy probablemente se centró en víctimas europeas, ya que la herramienta solo funciona y comprende cadenas en inglés, alemán y ruso.
Sin embargo, los malos actores detrás de la campaña actual no son particularmente exigentes con sus objetivos. ZDNet citó el informe de Cisco, que describe que la campaña Solarmarker está dirigida a instituciones gubernamentales, sanitarias y educativas, aparentemente sin un patrón específico.
Los investigadores que trabajan con Microsoft también notaron que parece que los malos actores están usando algún tipo de envenenamiento de SEO. El propósito de esta técnica es mejorar la visibilidad del cuentagotas del malware en varias páginas de resultados de los motores de búsqueda. Curiosamente, esa campaña anterior en la que se detectó por primera vez el envenenamiento de SEO con Solarmarker estaba dirigida principalmente a víctimas en los EE. UU.
Infosec advierte que la versión actual de Solarmarker que se está utilizando puede robar no solo la información ingresada en un formulario de navegador por los empleados de la empresa, sino también raspar las credenciales de inicio de sesión que podrían conducir a un compromiso en toda la red.
Solarmarker utiliza un módulo DLL apodado Jupyter que se utiliza para filtrar información personal, credenciales de inicio de sesión y datos de llenado de formularios tanto de Chrome como de Firefox.
El cuentagotas del malware se distribuye principalmente a través de páginas infectadas y falsas en sitios web de descarga gratuita. Al igual que con muchos otros programas maliciosos, la mejor manera de evitar Solarmarker es evitar todas y cada una de las descargas sospechosas.
