SolarMarker RAT
SolarMarker es un troyano de acceso remoto (RAT) escrito en el marco de Microsoft .NET. Lo mismo se ha rastreado bajo varios nombres diferentes, incluidos Jupyter, Yellow Cockatoo y Polazert. El propósito principal y la funcionalidad central de SolarMarker es actuar como una puerta trasera a través de la cual el actor de amenazas específico puede escalar el ataque al entregar una carga útil de malware en etapa final al sistema infectado. SolarMarker se ha utilizado en varias operaciones amenazantes, ya que su versatilidad permite que diferentes grupos de piratas informáticos implementen cargas útiles de acuerdo con sus necesidades específicas.
SolarMarker puede buscar y ejecutar un troyano bancario de próxima etapa capaz de secuestrar las credenciales bancarias en línea de la empresa comprometida o un ladrón de información capaz de recopilar las credenciales de correo electrónico y cuentas de los usuarios. Los ciberdelincuentes pueden utilizar dicha información privada para moverse lateralmente dentro de la red, propagar la infección de malware a sistemas adicionales u obtener un acceso más profundo a los datos corporativos privados. La implementación de ransomware a nivel corporativo también ha experimentado un aumento prominente entre los círculos de piratas informáticos, ya que pueden bloquear todas las operaciones de la entidad violada de manera efectiva y exigir el pago de una enorme suma de dinero.
Miles de sitios web alojados en Google difunden la RAT de SolarMarker
La última campaña de ataque que involucró al SolarMarker RAT muestra un nivel significativo de sofisticación. El actor de amenazas detrás de las operaciones ha creado 100.000 dominios de amenaza dedicados alojados en Google. Las páginas que difunden SolarMarker utilizan términos y palabras clave comerciales populares, como varios formularios y plantillas, incluidos recibos, facturas, currículums, cuestionarios y otros. Al usar términos tan comunes en conjunto como parte de una estrategia de SEO (optimización de motores de búsqueda), los ciberdelincuentes pueden confiar en los propios robots de rastreo web de Google para clasificar los sitios web corruptos en una clasificación alta y colocarlos en los primeros resultados que se muestran a los usuarios.
Los usuarios desprevenidos pensarán que están abriendo el formulario de documento o la plantilla que necesitan. Sin embargo, en su lugar, ejecutarán un binario que inicia la cadena de instalación de SolarMarker RAT. Para enmascarar aún más su presencia, la amenaza de puerta trasera tiene varias aplicaciones de señuelo como: docx2rtf.exe, Expert_PDF.exe y photodesigner7_x86-64.exe. Uno de los últimos utilizados por la amenaza se llama Slim PDF reader.
