Threat Database Backdoors SolarMarker RAT

SolarMarker RAT

SolarMarker är en Remote Access Trojan (RAT) skriven i Microsoft .NET-ramverket. Samma har spårats under olika, olika namn inklusive Jupyter, Yellow Cockatoo och Polazert. Huvudsyftet och kärnfunktionaliteten hos SolarMarker är att fungera som en bakdörr genom vilken den specifika hotaktören kan eskalera attacken genom att leverera en slutgiltig skadlig nyttolast till det infekterade systemet. SolarMarker har använts i flera hotfulla operationer, eftersom dess mångsidighet möjliggör för olika hackargrupper att distribuera nyttolaster i enlighet med deras specifika behov.

SolarMarker kan hämta och utföra en nästa stegs banktrojan som kan kapa nätbanksuppgifter från det kompromitterade företaget eller en infostjälare som kan skörda användarnas konto- och e-postuppgifter. Sådan privat information kan sedan användas av cyberbrottslingar för att flytta i sidled inom nätverket, sprida malwareinfektionen till ytterligare system eller få djupare tillgång till privata företagsdata. Att distribuera ransomware på företagsnivå har också sett en framträdande ökning bland hackarkretsar eftersom de effektivt kan låsa hela den brutna enhetens verksamhet och kräva betalning av en enorm summa pengar.

Tusentals webbplatser som Google hostar sprider SolarMarker RAT

Den senaste attackkampanjen med SolarMarker RAT visar en betydande nivå av sofistikering. Hotaktören bakom verksamheten har skapat 100 000 dedikerade hotade domäner från Google. Sidorna som sprider SolarMarker använder populära affärsuttryck och nyckelord, såsom olika formulär och mallar, inklusive kvitton, fakturor, CV, frågeformulär och andra. Genom att använda sådana vanliga termer tillsammans som en del av en SEO-strategi (Search Engine Optimization) kan cyberbrottslingar lita på Googles egna webbrobotar för att rangordna de skadade webbplatserna högt och placera dem i de bästa resultaten som visas för användarna.

De intet ont anande användarna tror att de öppnar det dokumentformulär eller den mall de behöver. Istället kommer de dock att köra en binär som initierar installationskedjan för SolarMarker RAT. För att ytterligare maskera sin närvaro har bakdörrhotet olika lokkanslutningsapplikationer som - docx2rtf.exe, Expert_PDF.exe och photodesigner7_x86-64.exe. En av de senaste som observerats som används av hotet heter Slim PDF-läsare.

Trendigt

Mest sedda

Läser in...