Threat Database Backdoors SolarMarker RAT

SolarMarker RAT

SolarMarker ist ein RAT (Remote Access Trojan), der im Microsoft .NET Framework geschrieben wurde. Das gleiche wurde unter verschiedenen, unterschiedlichen Namen verfolgt, darunter Jupyter, Yellow Cockatoo und Polazert. Der Hauptzweck und die Kernfunktionalität von SolarMarker besteht darin, als Hintertür zu fungieren, durch die der spezifische Bedrohungsakteur den Angriff eskalieren kann, indem er dem infizierten System eine Malware-Nutzlast im Endstadium bereitstellt. SolarMarker wurde in mehreren Bedrohungsoperationen eingesetzt, da seine Vielseitigkeit es verschiedenen Hackergruppen ermöglicht, Nutzdaten entsprechend ihren spezifischen Anforderungen bereitzustellen.

SolarMarker kann einen Banking-Trojaner der nächsten Stufe abrufen und ausführen, der Online-Banking-Anmeldeinformationen des gefährdeten Unternehmens entführen kann, oder einen Info-Stealer, der die Konto- und E-Mail-Anmeldeinformationen der Benutzer abrufen kann. Solche privaten Informationen können dann von den Cyberkriminellen verwendet werden, um sich seitlich innerhalb des Netzwerks zu bewegen, die Malware-Infektion auf zusätzliche Systeme zu übertragen oder einen tieferen Zugriff auf private Unternehmensdaten zu erhalten. Die Bereitstellung von Ransomware auf Unternehmensebene hat auch in Hacker-Kreisen einen deutlichen Anstieg verzeichnet, da sie den gesamten Betrieb des verletzten Unternehmens effektiv blockieren und die Zahlung eines massiven Geldbetrags verlangen können.

Tausende von Google-gehostete Websites verbreiten die SolarMarker-RAT

Die jüngste Angriffskampagne mit dem SolarMarker RAT zeigt ein hohes Maß an Raffinesse. Der Bedrohungsakteur hinter den Vorgängen hat 100.000 dedizierte, von Google gehostete Bedrohungsdomänen eingerichtet. Auf den Seiten, auf denen SolarMarker verbreitet wird, werden beliebte Geschäftsbegriffe und Schlüsselwörter verwendet, z. B. verschiedene Formulare und Vorlagen, darunter Quittungen, Rechnungen, Lebensläufe, Fragebögen und andere. Durch die gleichzeitige Verwendung derartiger allgemeiner Begriffe als Teil einer SEO-Strategie (Search Engine Optimization) können sich die Cyberkriminellen auf Google eigene Webcrawler-Bots verlassen, um den beschädigten Websites einen hohen Rang einzuräumen und sie in die Top-Ergebnisse der Nutzer aufzunehmen.

Die ahnungslosen Benutzer werden denken, dass sie das Dokumentformular oder die Vorlage öffnen, die sie benötigen. Stattdessen führen sie jedoch eine Binärdatei aus, die die Installationskette der SolarMarker-RAT initiiert. Um seine Präsenz weiter zu maskieren, verfügt die Backdoor-Bedrohung über verschiedene Täuschungsanwendungen wie - docx2rtf.exe, Expert_PDF.exe und photodesigner7_x86-64.exe. Eine der neuesten Beobachtungen, die von der Bedrohung verwendet werden, heißt Slim PDF Reader.

Im Trend

Am häufigsten gesehen

Wird geladen...