SolarMarker RAT

SolarMarker è un Trojan di accesso remoto (RAT) scritto nel framework Microsoft .NET. Lo stesso è stato rintracciato sotto vari nomi diversi tra cui Jupyter, Yellow Cockatoo e Polazert. Lo scopo principale e la funzionalità principale di SolarMarker è di agire come una backdoor attraverso la quale l'attore specifico della minaccia può intensificare l'attacco fornendo un payload malware allo stadio finale al sistema infetto. SolarMarker è stato utilizzato in diverse operazioni minacciose, poiché la sua versatilità consente a diversi gruppi di hacker di distribuire payload in base alle loro esigenze specifiche.

SolarMarker può recuperare ed eseguire un Trojan bancario di fase successiva in grado di dirottare le credenziali bancarie online dalla società compromessa o da un ladro di informazioni in grado di raccogliere l'account degli utenti e le credenziali e-mail. Tali informazioni private possono quindi essere utilizzate dai criminali informatici per spostarsi lateralmente all'interno della rete, diffondere l'infezione da malware ad altri sistemi o ottenere un accesso più approfondito ai dati aziendali privati. Anche l'implementazione di ransomware a livello aziendale ha visto un notevole aumento tra i circoli di hacker in quanto possono bloccare in modo efficace le intere operazioni dell'entità violata e richiedere il pagamento di un'enorme somma di denaro.

Migliaia di siti web ospitati da Google diffondono il SolarMarker RAT

L'ultima campagna di attacco che ha coinvolto il SolarMarker RAT mostra un livello significativo di sofisticazione. L'attore della minaccia dietro le operazioni ha creato 100.000 domini minacciosi ospitati da Google dedicati. Le pagine che diffondono SolarMarker utilizzano termini e parole chiave commerciali popolari, come vari moduli e modelli, tra cui ricevute, fatture, curriculum, questionari e altri. Utilizzando questi termini comuni in tandem come parte di una strategia SEO (Search Engine Optimization), i criminali informatici possono fare affidamento sui bot crawler Web di Google per classificare i siti Web danneggiati in un ranking elevato e posizionarli nei migliori risultati visualizzati agli utenti.

Gli utenti ignari penseranno di aprire il modulo o il modello del documento di cui hanno bisogno. Tuttavia, invece, eseguiranno un binario che avvia la catena di installazione di SolarMarker RAT. Per mascherare ulteriormente la sua presenza, la minaccia backdoor ha varie applicazioni esca come - docx2rtf.exe, Expert_PDF.exe e photodesigner7_x86-64.exe. Uno degli ultimi osservati per essere utilizzato dalla minaccia si chiama Slim PDF reader.