新的SolarMarker恶意软件变体，使用最新技术保持低调

网络安全研究人员披露了SolarMarker恶意软件的一个高级版本，该软件进行了新的改进，目的是更新其防御规避能力并保持在雷达之下。

“最新版本展示了从Windows可移植可执行文件（EXE文件）到使用Windows installer软件包文件（MSI文件）的演变，”Palo Alto Networks第42单元的研究人员在本月发布的一份报告中表示。“此活动仍在开发中，将继续使用早期版本中的可执行文件（EXE）”。

SolarMarker，也称为Jupyter，利用被操纵的搜索引擎优化（SEO）策略作为其主要感染媒介。它以其信息窃取和后门功能著称，使攻击者能够窃取web浏览器中存储的数据，并执行从远程服务器检索的任意命令。

2022年2月，观察到SolarMarker的操作员使用秘密Windows注册表技巧在受损系统上建立长期持久性。

第42单元发现的不断演变的攻击模式是这种行为的延续，感染链以250MB可执行文件的形式存在于PDF阅读器和实用程序上，这些PDF阅读器和实用程序托管在充满关键字的欺诈网站上，并使用SEO技术在搜索结果中排名更高。

大文件大小不仅允许初始阶段的dropper避免防病毒引擎的自动分析，还设计用于下载和安装合法程序，同时在后台激活部署SolarMarker恶意软件的PowerShell安装程序的执行。

A.基于NET的有效载荷，SolarMarker后门具有执行内部侦察和真空系统元数据的能力，所有这些元数据都通过加密通道过滤到远程服务器。

植入物还可以作为一个管道，将SolarMarker的信息窃取模块部署到受害者机器上。窃取者可以从web浏览器中提取自动填充数据、cookie、密码和信用卡信息。

研究人员说：“该恶意软件在防御规避方面投入了大量精力，包括签名文件、大型文件、模拟合法软件安装和混淆PowerShell脚本等技术”。