03.08.2021 | Операторы инфостилера Solarmarker возобновили свою активность |
Образовательные и медицинские учреждения стали жертвами новой вредоносной кампании по хищению учетных данных. Преступники в ходе атак заражают системы жертв инфостилером и кейлоггером на языке .NET. По данным специалистов Cisco Talos, вредоносная кампания, получившая название Solarmarker, началась еще в сентябре 2020 года. Заражение начинается с установки сборочного модуля Mars на базе .NET, который служит профилировщиком системы и промежуточным звеном для C&C-сервера. Дальнейшие злонамеренные действия включают установку компонентов инфостилера под названием Jupyter и Uran. Первый компонент обладает функционалом для кражи персональных данных, учетных данных и значений отправки форм из браузеров Mozilla Firefox и Google Chrome. Второй компонент действует в качестве кейлоггера для перехвата нажатий клавиш пользователем. В ходе текущей кампании преступники прибегли к так называемому «отравлению SEO» (SEO poisoning). Данная техника включает использование механизмов поисковой оптимизации с целью привлечь больше внимания к вредоносным сайтам или сделать файлы-загрузчики более заметными среди результатов поисковых запросов. Хакеры используют тысячи PDF-документов, наполненных ключевыми словами и ссылками для SEO. Статический и динамический анализ артефактов Solarmarker, проведенный экспертами, указывает на то, что хакерская группировка может быть русскоязычной. Однако специалисты подозревают, что создатели вредоносного ПО могли намеренно спроектировать его таким образом с целью ввести в заблуждение ИБ-экспертов. |
Проверить безопасность сайта