SolarMarker RAT

SolarMarker est un cheval de Troie d'accès à distance (RAT) écrit dans le framework Microsoft .NET. La même chose a été suivie sous différents noms, notamment Jupyter, Yellow Cockatoo et Polazert. L'objectif principal et la fonctionnalité de base de SolarMarker est d'agir comme une porte dérobée par laquelle l'acteur de la menace spécifique peut intensifier l'attaque en fournissant une charge utile de malware de fin de course au système infecté. SolarMarker a été utilisé dans plusieurs opérations menaçantes, car sa polyvalence permet à différents groupes de pirates de déployer des charges utiles en fonction de leurs besoins spécifiques.

SolarMarker peut récupérer et exécuter un cheval de Troie bancaire de la prochaine étape capable de détourner les informations d'identification bancaires en ligne de la société compromise ou un voleur d'informations capable de collecter les informations d'identification du compte et des e-mails des utilisateurs. Ces informations privées peuvent ensuite être utilisées par les cybercriminels pour se déplacer latéralement au sein du réseau, propager l'infection par le logiciel malveillant vers des systèmes supplémentaires ou obtenir un accès plus approfondi aux données privées de l'entreprise. Le déploiement de ransomwares au niveau de l'entreprise a également connu une augmentation importante parmi les cercles de hackers, car ils peuvent verrouiller efficacement toutes les opérations de l'entité violée et exiger le paiement d'une somme d'argent massive.

Des milliers de sites Web hébergés par Google diffusent le SolarMarker RAT

La dernière campagne d'attaque impliquant le SolarMarker RAT montre un niveau de sophistication significatif. L'acteur menaçant derrière les opérations a mis en place 100 000 domaines menaçants hébergés par Google. Les pages diffusant SolarMarker utilisent des termes commerciaux et des mots-clés courants, tels que divers formulaires et modèles, y compris des reçus, des factures, des curriculum vitae, des questionnaires et autres. En utilisant ces termes communs en tandem dans le cadre d'une stratégie de référencement (Search Engine Optimization), les cybercriminels peuvent s'appuyer sur les propres robots d'exploration Web de Google pour classer les sites Web corrompus dans un rang élevé et les placer dans les meilleurs résultats affichés aux utilisateurs.

Les utilisateurs sans méfiance penseront qu'ils ouvrent le formulaire ou le modèle de document dont ils ont besoin. Cependant, à la place, ils exécuteront un binaire qui initiera la chaîne d'installation du SolarMarker RAT. Pour masquer davantage sa présence, la menace de porte dérobée a diverses applications leurres telles que - docx2rtf.exe, Expert_PDF.exe et photodesigner7_x86-64.exe. L'un des derniers utilisateurs observés par la menace est le lecteur Slim PDF.