Solarmarker再び

以前話題にしたことがあるSolarmarkerというマルウェアですが、更新されて活動が観測されています。
このマルウェアは他の最近のマルウェアと同様に、いくつものモジュールに分割されて構成されています。
このため、更新や差し替えが容易になっていると考えられます。

今回新たに確認されているのは、キーロガー機能を持つモジュールです。
この新たに確認された機能は、バージョンアップして新たに搭載された機能なのか、以前からあるけれどもモジュール化されていたために発見されていなかっただけなのか、それはわかりません。
結果として、現在認識されているモジュールと機能はこういうものがあります。

• dm
  プライマリコンポーネントです。
  コマンドアンドコントロール（C2）通信およびその他の悪意のあるアクションの被害者ホストのステージャーとして機能します。
  この部分はさらに、dモジュールとmモジュールに分割されて実装されています。
• Jupyter
  2段目のコンポーネントです。
  FirefoxおよびGoogleChromeブラウザから個人データ、クレデンシャル、フォーム送信値を盗む機能を持っています。
• Uran
  こちらも2段目のコンポーネントです。
  この部分が今回確認されました。
  ユーザーのキーストロークをキャプチャするキーロガーです。

このマルウェアは、SEO対策を使ってPDFファイルの形式で伝搬していくタイプのものです。
いまも大きな労力をかけ、キャンペーンが展開されています。

あなたが先日入手したそのPDFは、正規の配布者が作成したままの状態のPDFでしょうか。

参考記事（外部リンク）：Threat Spotlight: Solarmarker
blog.talosintelligence.com/2021/07/threat-spotlight-solarmarker.html