Skip to content

Ward Solutions (een Ekco company) is geattendeerd op een aantal WordPress websites, die besmet lijken te zijn. De aanvallen op deze WordPress websites komen overeen met de tactieken, technieken en procedures die gebruikt worden om SolarMarker malware te verspreiden.

SolarMarker malware installeert een backdoor of een infostealer, zodra het slachtoffer de payload uitvoert. Beide modules van SolarMarker kunnen de organisatie schade berokkenen, aangezien de backdoor door een aanvaller kan worden gebruikt om aanvullende malware te implementeren of gevoelige informatie te stelen.

Van de dreigers achter deze malware is waargenomen dat ze hun payloads voornamelijk via twee methoden afleveren:

  1. Google Groups pagina’s
  2. Besmette WordPress websites. De schadelijke download wordt geüpload via de Formidable-plugin met het volgende pad: “/wp-content/uploads/formidable/*.pdf”, wat de standaardpagina voor het uploaden van bestanden is.

Deze besmette WordPress websites hosten een aantal kwaadaardige bestanden, die gebruikt kunnen worden tijdens het infectieproces van SolarMarker. Als je een website host die gebruikmaakt van WordPress en in het bijzonder een WordPress website die gebruikmaakt van de Formidable-plugin, controleer dan jouw systemen om er zeker van te zijn dat jouw systemen niet besmet zijn.

Analyse

Van SolarMarker malware, die PDF bestanden als infectiemethode gebruikt, is vastgesteld dat deze gebruikmaakt van Search Engine Optimisation (SEO) om het klikken op hun kwaadaardige payloads te bevorderen. In de meeste gevallen werden besmette WordPress sites gebruikt om PDF bestanden te hosten, specifiek in de wp-content/uploads/formidable directories op die websites.

Het merendeel van de implementaties van SolarMarker leidt tot het plaatsen van backdoors, omdat het de criminelen de mogelijkheid biedt om extra payloads af te leveren. Het element infostealer van deze malware richt zich op de cryptovaluta wallets, die zich op de computer van het slachtoffer kunnen bevinden, en is ook instaat om VPN- en RDP-configuraties te stelen, evenals cookies en browserreferenties van: Opera, Brave, Microsoft Edge, Mozilla Firefox en Google Chrome.

Aanbevelingen

Er zijn twee verschillende groepen die risico lopen bij deze aanvallen, namelijk de eigenaren van websites die WordPress gebruiken en de slachtoffers die SolarMarker malware installeren.

Eigenaren van websites

Het NCSC (National Cyber Security Centrum) heeft een aanzienlijk aantal WordPress websites waargenomen, die recentelijk op deze manier zijn aangevallen. Eigenaren van WordPress websites, met name websites die gebruikmaken van de Formidable-plugin, moeten hun systemen controleren om er zeker van te zijn dat er geen besmetting heeft plaatsgevonden.

In het geval dat een website besmet is en er kwaadaardige inhoud wordt gehost, dienen er incident response procedures te worden gestart. Als de getroffen organisatie niet over de technische kennis beschikt, moet zij een beroep doen op ondersteuning van derden om de situatie te herstellen.

Hoe infectie met SolarMarker malware voorkomen

  • Organisaties moeten gebruikers trainen, omtrent de risico’s van SEO besmetting en hoe ze potentieel schadelijke resultaten kunnen identificeren.
  • Organisaties moeten er ook voor zorgen dat een “defense-in-depth” aanpak van cyberbeveiliging wordt gehanteerd.
  • Gebruik een oplossing voor e-mailbeveiliging, die kan voorkomen dat phishing, spam en andere schadelijke e-mailberichten de inbox bereiken.
  • Voer phishing simulatieoefeningen uit om het beveiligingsbewustzijn van werknemers te testen en te verbeteren.
pic

Heb je een vraag?
Onze specialisten staan voor je klaar