SolarMarker

¿Qué es?

SolarMarker, también conocido como Jupyter, Polazert y Yellow Cockatoo, es un malware de tipo troyano stealer con características de backdoor, que se enfoca en infectar dispositivos Windows para recolectar y robar su información sensible y permitir el control remoto. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

Roba información sensible, donde incluye credenciales de inicio de sesión, cookies, datos de autocompletado y tarjetas de crédito almacenadas en navegadores web y aplicaciones.
Permite a los atacantes obtener el control remoto de los sistemas, ejecutar comandos, scripts de PowerShell y archivos ejecutables.
Permite la descarga e instalación de otros programas maliciosos para ampliar su funcionalidad y persistencia.
Utiliza técnicas avanzadas de evasión de la detección, como la firma digital de archivos con certificados legítimos y de gran tamaño y la ofuscación de código en los scripts de PowerShell.
Modifica el registro del sistema operativo y crea accesos directos en la carpeta de inicio para generar persistencia y garantizar su ejecución en cada inicio del sistema.
Establece canales de comunicación cifrados con servidores de mando y control (C2) para exfiltrar datos y recibir instrucciones.

Sistemas afectados

Los principales dispositivos afectados son:

Dispositivos con sistemas Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos, sobre todo, a través de la visita a sitios web comprometidos o falsos, que han sido bien posicionados en los resultados de búsquedas (SEO poisoning) y se han diseñado especialmente para instalarse sin el conocimiento de los usuarios.