Cisco warnt vor modularer Windows-Malware Solarmarker

Andrew Windsor und Chris Neal, Forscher bei Cisco Talos, haben die Malware Solarmarker analysiert, einen .NET-basierten Keylogger, den sie als „hochgradig modular“ bezeichnen. Hinter der Solarmarker-Kampagne stecken ihrer Ansicht nach „ziemlich raffinierte“ Akteure, die ihre Energie auf den Diebstahl von Anmeldedaten und weiteren Informationen konzentrieren.

Andere Hinweise, wie die gezielte Sprachkomponente des Keyloggers, deuten darauf hin, dass die Cyberangreifer ein Interesse an europäischen Organisationen haben oder schlichtweg nicht in der Lage sind, Texte in anderen Sprachen als Russisch, Deutsch und Englisch zu verarbeiten. „Unabhängig davon sind sie nicht wählerisch oder übermäßig vorsichtig, wenn es darum geht, welche Opfer mit ihrer Malware infiziert werden. Während des jüngsten Anstiegs der Kampagne beobachtete Talos, dass die Bereiche Gesundheitswesen, Bildung und Kommunalverwaltung am häufigsten angegriffen wurden“, heißt es in dem Bericht der Forscher.

Die Talos-Forscher warnen Unternehmen, sich vor der Malware in Acht zu nehmen, da die entdeckten Module zeigen, dass die Opfer anfällig für den Diebstahl sensibler Informationen sind, und zwar nicht nur aus der Browser-Nutzung der einzelnen Mitarbeiter, wenn diese beispielsweise ihre Kreditkartennummer oder andere persönliche Daten eingeben, sondern auch für die Sicherheit des Unternehmens kritische Daten, insbesondere Anmeldedaten.

Laut Cisco Talos ist Solarmarker mindestens seit September 2020 aktiv. Einige DNS-Telemetriedaten lassen demnach sogar die Vermutung zu, dass die Malware bereits seit April 2020 im Umlauf ist.