il active l’exécution d’un programme d’installation PowerShell qui déploie le logiciel malveillant SolarMarker. Une charge utile basée sur.
NET, la porte dérobée SolarMarker est équipée de capacités pour effectuer une reconnaissance interne et des métadonnées du système de vide, qui sont toutes exfiltrées vers le serveur distant via un canal crypté. L’implant fonctionne également comme un conduit pour déployer le module de vol d’informations du SolarMarker sur la machine victime. Le voleur, pour sa part, peut siphonner les données de remplissage automatique, les cookies, les mots de passe et les informations de carte de crédit des navigateurs Web.
« Le malware investit des efforts considérables dans l’évasion de la défense, qui consiste en des techniques telles que des fichiers signés, des fichiers volumineux, l’usurpation d’identité d’installations logicielles légitimes et des scripts PowerShell obscurcis », ont déclaré les chercheurs.