Операторы инфостилера Solarmarker возобновили свою активность

Образовательные и медицинские учреждения стали жертвами новой вредоносной кампании по хищению учетных данных. Преступники в ходе атак заражают системы жертв инфостилером и кейлоггером на языке .NET.

По данным специалистов Cisco Talos, вредоносная кампания, получившая название Solarmarker, началась еще в сентябре 2020 года. Заражение начинается с установки сборочного модуля Mars на базе .NET, который служит профилировщиком системы и промежуточным звеном для C&C-сервера. Дальнейшие злонамеренные действия включают установку компонентов инфостилера под названием Jupyter и Uran.

Первый компонент обладает функционалом для кражи персональных данных, учетных данных и значений отправки форм из браузеров Mozilla Firefox и Google Chrome. Второй компонент действует в качестве кейлоггера для перехвата нажатий клавиш пользователем.

В ходе текущей кампании преступники прибегли к так называемому «отравлению SEO» (SEO poisoning). Данная техника включает использование механизмов поисковой оптимизации с целью привлечь больше внимания к вредоносным сайтам или сделать файлы-загрузчики более заметными среди результатов поисковых запросов. Хакеры используют тысячи PDF-документов, наполненных ключевыми словами и ссылками для SEO.

Раньше образцы Solarmarker загружались со страницы с общим названием заголовка «PdfDocDownloadsPanel». В ходе текущей кампании операторы Solarmarker приложили дополнительные усилия и сделали последнюю страницу загрузки более правдоподобной и отличающейся от предыдущих версий. Страница загрузки теперь замаскирована под запрос файла загрузки с Google Диска.

Наиболее частыми целями атак становились организации в сфере здравоохранения, образования и муниципальные органы власти. Атакам подверглась небольшая группа производственных организаций, а также несколько отдельных религиозных организаций, финансовых служб и строительных компаний. По словам экспертов, преступники не нацелены на какие-либо конкретные отрасли.

Статический и динамический анализ артефактов Solarmarker, проведенный экспертами, указывает на то, что хакерская группировка может быть русскоязычной. Однако специалисты подозревают, что создатели вредоносного ПО могли намеренно спроектировать его таким образом с целью ввести в заблуждение ИБ-экспертов.