以前話題にしたことがあるSolarmarkerというマルウェアですが、更新されて活動が観測されています。
このマルウェアは他の最近のマルウェアと同様に、いくつものモジュールに分割されて構成されています。
このため、更新や差し替えが容易になっていると考えられます。
今回新たに確認されているのは、キーロガー機能を持つモジュールです。
この新たに確認された機能は、バージョンアップして新たに搭載された機能なのか、以前からあるけれどもモジュール化されていたために発見されていなかっただけなのか、それはわかりません。
結果として、現在認識されているモジュールと機能はこういうものがあります。
- dm
プライマリコンポーネントです。
コマンドアンドコントロール(C2)通信およびその他の悪意のあるアクションの被害者ホストのステージャーとして機能します。
この部分はさらに、dモジュールとmモジュールに分割されて実装されています。 - Jupyter
2段目のコンポーネントです。
FirefoxおよびGoogleChromeブラウザから個人データ、クレデンシャル、フォーム送信値を盗む機能を持っています。 - Uran
こちらも2段目のコンポーネントです。
この部分が今回確認されました。
ユーザーのキーストロークをキャプチャするキーロガーです。
このマルウェアは、SEO対策を使ってPDFファイルの形式で伝搬していくタイプのものです。
いまも大きな労力をかけ、キャンペーンが展開されています。
あなたが先日入手したそのPDFは、正規の配布者が作成したままの状態のPDFでしょうか。
参考記事(外部リンク):Threat Spotlight: Solarmarker
blog.talosintelligence.com/2021/07/threat-spotlight-solarmarker.html
この記事をシェア |
---|