solarmarker - RunkIntel

# SolarMarker > [!tip] Resumo > Backdoor e infostealer .NET distribuido via SEO poisoning em larga escala - a partir de 2020, os operadores criaram mais de 1 milhao de paginas web maliciosas para enganar usuarios de mecanismos de busca. Roba credenciais de navegadores, opera como backdoor de segundo estagio e usa carregamento reflexivo para execução fileless. Suspeito de autoria de atores de lingua russa. ## Visão Geral O [[solarmarker|SolarMarker]] (também conhecido como Jupyter, Polazert ou Yellow Cockatoo) e um malware .NET multifuncional que combina capacidades de backdoor e roubo de credenciais. Identificado pela primeira vez em outubro de 2020 pela Sophos, o malware ganhou destaque em 2021 por sua escala massiva de distribuição via SEO poisoning. O elemento mais notavel do SolarMarker e sua infraestrutura de distribuição: os operadores criaram inicialmente mais de 100.000 paginas web falsas otimizadas para mecanismos de busca (SEO), aumentando para mais de 1 milhao de paginas em sites WordPress comprometidos. As paginas iscas usam termos populares de busca - formularios de escritorio, modelos de documentos, tutoriais tecnicos - para aparecer no topo dos resultados do Google e Bing. Quando um usuario clica em um resultado envenenado, e redirecionado por uma cadeia de 5 a 7 sites para uma pagina falsa do Google Drive que serve o instalador malicioso. O malware usa certificados digitais válidos para contornar sistemas antivirus e técnicas como arquivos dropper de grande tamanho para evadir análise. Pesquisadores da Morphisec atribuem o desenvolvimento a atores de lingua russa com base em erros de traducao russo-ingles no código e servidores C2 localizados na Russia. O eSentire reportou um aumento de 5x nas infeccoes no segundo semestre de 2021. **Plataformas:** Windows ## Como Funciona O SolarMarker usa um fluxo de infecção multiestagio: 1. **SEO poisoning**: Paginas falsas rankeadas no topo de buscas por termos como "formulario de imposto", "modelo de curriculo", "planilha de calculo" 2. **Cadeia de redirecionamento**: Vitima clicando e passada por 5-7 dominos até pagina falsa Google Drive 3. **Download do instalador**: Arquivo .msi ou .exe mascarado como instalador de software legitimo 4. **Execução PowerShell**: Script PowerShell ofuscado extrai e executa o loader 5. **Carregamento reflexivo**: O loader usa Reflective Code Loading para carregar o backdoor sem gravar em disco 6. **Persistência**: LNK na pasta Startup e regras de tratamento de extensoes de arquivo aleatorias no registro 7. **Exfiltração**: Dados de navegadores (login, cookies, autopreenchimento) descriptografados via DPAPI e enviados ao C2 ## Cadeia de Infecção ```mermaid graph TB A["SEO Poisoning 1M+ paginas falsas em WordPress comprometidos"] --> B["Clique do Usuario Busca por formularios ou modelos de documentos"] B --> C["Redirecionamento Cadeia 5-7 sites para pagina falsa Drive"] C --> D["Download MSI/EXE Instalador mascarado como software legitimo"] D --> E["PowerShell Ofuscado Extrai e executa o loader em memoria"] E --> F["Reflective Loading Backdoor carregado sem gravar em disco"] F --> G["Persistência LNK Startup + registro extensao personalizada"] G --> H["Roubo de Credenciais Login, cookies, DPAPI de todos os navegadores"] H --> I["Exfiltração C2 Dados enviados via HTTPS criptografado"] ``` ## Tacticas, Técnicas e Procedimentos (TTPs) | Tática | Técnica | Descrição | |--------|---------|-----------| | Acesso Inicial | [[t1189-drive-by-compromise\|T1189]] | SEO poisoning - paginas maliciosas no topo de buscas | | Execução | [[t1059-001-powershell\|T1059.001]] | Scripts PowerShell ofuscados para instalacao | | Execução | [[t1620-reflective-code-loading\|T1620]] | Carregamento do backdoor sem gravacao em disco | | Persistência | [[t1547-001-registry-run-keys\|T1547.001]] | Regras de extensao de arquivo e LNK no Startup | | Acesso a Credenciais | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de login, cookies, autopreenchimento via DPAPI | | Evasão | [[t1027-obfuscated-files-or-information\|T1027]] | Scripts PowerShell ofuscados; arquivos dropper grandes | | Evasão | [[t1553-002-code-signing\|T1553.002]] | Certificados digitais válidos para evadir AV | | Exfiltração | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados enviados ao servidor C2 via HTTPS | | C2 | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação HTTPS com servidor C2 | ## Evolução e Variantes | Período | Vetor | Caracteristica | |---------|-------|----------------| | 2020-Q4 | Blogspot, Google Sites | Primeiras campanhas, baixo volume | | 2021-Q1 | WordPress comprometidos | Mais de 100.000 paginas maliciosas | | 2021-Q2 | AWS, Strikingly (PDFs) | Mudança de plataforma para evadir bloqueios | | 2021-Q4 | WordPress + MSI | Mais de 1 milhao de paginas; dropper MSI novo | | 2022 | EXE assinados | Certificados válidos; maior volume | | 2022-2024 | EXE grande + assinado | Tamanho maior para evadir análise sandboxed | ## Relevância LATAM/Brasil O SolarMarker e uma ameaça horizontal - nao selectiva por pais ou industria - que afeta qualquer usuario que faca buscas na internet por modelos de documentos, formularios ou materiais de treinamento. Profissionais brasileiros nos setores financeiro e educacional foram identificados como alvos em campanhas documentadas pela Microsoft. A natureza do ataque via mecanismos de busca torna todos os usuarios de internet potencialmente vulneraveis, independente de infraestrutura de segurança corporativa. O vetor de SEO poisoning e especialmente relevante para o Brasil dado o alto uso de buscas em portugues por modelos de documentos fiscais, trabalhistas e academicos. ## Detecção > [!tip] Indicadores de Detecção > - Monitorar downloads de arquivos .msi ou .exe de sites de hospedagem como Strikingly, AWS S3 com nomes correspondendo a termos de busca > - Detectar processos PowerShell com alta entropia de linha de comando (script ofuscado) > - Buscar LNK files na pasta Startup de usuarios apontando para localizacoes inusitadas > - Monitorar registro para criação de manipuladores de extensoes de arquivo aleatorias > - Alertar sobre processos lendo arquivos de credenciais de navegadores (Cookies, Login Data, Web Data) > - Regra YARA/EDR: detectar Reflective Code Loading de processos PowerShell ## Referências - [Sophos - SolarMarker Campaign](https://www.sophos.com/it-it/blog/solarmarker-campaign-used-novel-registry-changes-to-establish-persistence) - [Microsoft - SEO Poisoning Used to Backdoor Targets](https://www.bleepingcomputer.com/news/security/microsoft-seo-poisoning-used-to-backdoor-targets-with-malware/) - [eSentire - SolarMarker Analysis](https://www.esentire.com) - [Menlo Security - SolarMarker SEO Poisoning](https://www.esecurityplanet.com/threats/solarmarker-attackers-use-seo-poisoning-to-push-malicious-code/)