Analistas han identificado un ataque de descarga automática que aprovechaba el malware SolarMarker, donde el ataque estaba dirigido a usuarios que buscaban actividades de formación de equipos en Bing. La Unidad de Respuesta a Amenazas (TRU) de eSentire investigó una infección del malware SolarMarker en abril de 2024, cuando el ataque comenzó con una descarga no autorizada de un usuario que buscaba ideas de formación de equipos en Bing.
Los atacantes engañaron a la víctima para que descargara un documento aparentemente inofensivo redirigiendo al usuario a un sitio web malicioso, haciéndose pasar por la plataforma legítima de búsqueda de empleo Indeed.
Sin embargo, este archivo descargado era en realidad la carga útil de SolarMarker que, tras su ejecución, implementa componentes maliciosos adicionales, StellarInjector y SolarPhantom, para comprometer aún más el sistema.
SolarMarker ha cambiado sus tácticas, ya que anteriormente la puerta trasera estaba incrustada directamente en el código y ahora el malware incrusta la puerta trasera en la sección de recursos de un archivo cifrado con AES.
Una vez ejecutada, la carga inicial muestra un mensaje de error falso y la puerta trasera se conecta a los servidores de comando y control (C2) en un par de direcciones IP. La configuración de la puerta trasera revela que el sistema de destino es Windows 10 x86 y tiene privilegios limitados. Apunta a los datos de navegación de Firefox y extrae la ruta del perfil del usuario y roba información. Es interesante observar que para esta carga útil inicial, SolarMarker utiliza dos certificados diferentes de DigiCert y GlobalSign.
Lo que destaca el uso de envenenamiento de SEO, sitios web falsos que se hacen pasar por legítimos y la necesidad de vigilancia del usuario y actualizaciones de seguridad.
Fuente: eSentire