Ce dangereux malware persiste sur les systèmes piratés

SolarMaker est un logiciel malveillant. Plus précisément, il s’agit d’un Cheval de Troie. Afin d’opérer, il se glisse dans le système Windows via le cadriciel .NET. Ce maliciel exploite des portes dérobées pour voler des données virtuelles. Les pirates ciblent particulièrement les informations confidentielles et les cryptomonnaies.

Malware sur écran

En 2021, trois vagues d’attaques de grande ampleur ont été recensées. La première s’est déroulée en mois d’avril. Les pirates intoxiquaient les moteurs de recherches avec des sites frauduleux. Google était notamment leur terrain de chasse favori. La deuxième vague s’est produite en août 2021. Durant cette période, SolarMarker était utilisé afin de récolter des informations ultrasensibles. Les domaines de la santé et de l’éducation ont été les principaux concernés. Quant à la dernière vague, elle a eu lieu en septembre 2021.

En novembre 2021, les attaques avec SolarMaker ont considérablement diminué. Ce déclin faisait croire que ce logiciel malveillant n’était plus à la mode. Pourtant, il n’en était rien. Récemment, la société de cybersécurité Sophos a découvert que les hackers continuaient leurs actions sur les systèmes piratés.

Comment fonctionne SolarMaker en général ?

À l’instar de tous les malwares, SolarMaker utilise la technique de l’hameçonnage. En premier, les hackers créent de faux-sites. Ainsi, ils attirent le maximum d’individus. Une fois sur le site, ils vous proposent diverses installations. À première vue, il n’y a rien d’alarmant. En effet, des logiciels tout à fait légitimes sont proposés tels qu’Adobe Acrobat Pro DC, Wondershare PDF ou Nitro Pro. Lorsqu’une des installations est acceptée, un script PowerShell est automatiquement lancé. En fait, ces opérations permettent de dissimuler le lancement de SolarMaker.

Les hackers ont plus d’un tour dans leurs sacs. À part l’installation de logiciels, ils utilisent également les groupes de discussions tels que Google Groups. Sur leurs faux sites, les hackers proposent divers documents PDF à télécharger. Ces derniers sont naturellement infestés de virus.

Grâce à tous ses leurres, SolarMaker a connu un grand succès. En effet, des chercheurs chez Sophos ont remarqué que les faux-sites sont généralement bien positionnés. Les hackers utilisent les techniques de référencement pour avoir une bonne visibilité sur les moteurs de recherche.

Attention, ce malware est persistant !

D’habitude, les logiciels malveillants sont issus de fichiers exécutables ou de scripts. Les utilisateurs avertis connaissent ce genre de méthode. Du coup, ils suppriment aussitôt les fichiers nuisibles. En conséquence, les hackers ont développé d’autres techniques. Dans le cas de SolarMaker, il procède à l’installation de PowerShell. Ce dernier modifie le registre Windows. Dans la foulée, il place un fichier .LNK dans le répertoire de démarrage Windows. Ensuite, le malware est noyé dans ce qu’on appelle « un écran de fumée ». Ce dernier est composé d’une centaine de fichiers inutiles afin de tromper la vigilance de l’utilisateur.

Grâce à sa furtivité, SolarMaker met en place une persistance. Tout d’abord le malware une porte dérobée au profit des pirates. Après cela, les hackers volent ensuite des informations. Dans certains cas, ils s’attaquent aux portefeuilles virtuels. Les chercheurs de Sophos affirment que cette porte pourrait rester active durant des mois. Pour éviter de se faire hacker, il faut être vigilant.

« Les défenseurs doivent toujours vérifier si les attaquants ont laissé quelque chose sur le réseau auquel ils peuvent revenir plus tard »

Gallagher

SOURCE : THEHACKERNEWS

1 réflexion au sujet de « Ce dangereux malware persiste sur les systèmes piratés »

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.