Исследователи из организации eSentire обнаружили несколько кибератак, за которыми стоит группировка SolarMarker, которая использовала одноименную вредоносную программу для атак на крупную консалтинговую компанию с офисами в США, Канаде, Великобритании и Европе.
Для заражения жертв вредоносным ПО злоумышленники используют атаку типа “водопой”, с ее помощью распространяя поддельные обновления для браузеров Chrome, Edge и Firefox. По словам специалистов, это новая тактика группировки, так как раньше хакеры использовали отравление SEO. Об этом пишет Securitylab.
SolarMarker – многоступенчатый инфостилер, который способен похищать данные автозаполнения, сохраненные пароли и информацию о кредитных картах из браузеров жертв. Согласно сообщению, опубликованному специалистами компании eSentire, хакеры использовали уязвимости на WordPress-сайте производителя медицинского оборудования. После этого на зараженный сайт зашла жертва и скачала SolarMarker, который выдавал себя за обновление для Chrome.
По словам специалистов, дизайн фейкового обновления зависит от браузера, который жертва использует при посещении зараженного сайта. Для Chrome это аддон, а для Edge и Firefox – PHP-страница.
Так как злоумышленники провели только одну атаку, используя в качестве вектора заражения “водопой”, неясно, тестирует ли группировка новую тактику или готовится к более масштабной кампании. Однако несмотря на это, eSentire рекомендует ИБ-специалистам бдительно следить за конечными точками, часто обновлять правила безопасности для обнаружения новых атак и наблюдать за ландшафтом угроз для общего укрепления безопасности организации.