Sikkerhedsforskere så et nyt stykke infostealing malware kaldet Jupyter. Malwaren er en .NET-infostealer, der primært er rettet mod Chromium, Firefox, og Chrome-browserdata, siger Morphisec-forskere.
Jupyter Infostealer
Ifølge forskning, malware demonstrerer mange muligheder, der muliggør en fuld bagdørfunktionalitet. Disse funktioner inkluderer en kommando-og-kontrol klient, download og udførelse af malware og PowerShell-scrips, samt shellcode indsat i legitime Windows-konfigurationsapps.
Hvordan starter Jupyter-angrebet?
Jupyters angrebskæde starter typisk med en downloadet zip-fil, der indeholder et installationsprogram, en eksekverbar fil, der normalt efterligner legitim software såsom Docx2Rtf. Nogle af disse installatører har vedligeholdt 0 registreringer i VirusTotal i løbet af de sidste 6 måneder, hvilket gør det ekstraordinært ved at omgå de fleste kontrolpunkter til slutpunktssikkerhedsscanning, Siger Morphisec.
Når installationsprogrammet er udført, Jupyter-læsseren i form af en .NET-klient injiceres i hukommelsen. Klienten er kendetegnet ved en velbygget kommunikationsprotokol, versioneringsmatrix, og persistensmoduler.
Den næste fase inkluderer udførelsen af en PowerShell-kommando, som aktiverer .NET-modulet. Begge .NET-komponenter præsenterer lignende kodestrukturer, kode tilsløring, og unik UID-implementering. Alle disse elementer peger på en end-to-end-ramme designet til at implementere infostealeren i kompromitterede systemer.
Hvornår fandt de første Jupyter-angreb sted?
Forskerne har observeret en jævn strøm af retsmedicinske data, der peger på Jupyter siden maj i år. “Mens mange af C2'erne ikke længere er aktive, de kortlægges konsekvent til Rusland, da vi var i stand til at identificere dem,” Morphisec tilføjer.
Der er flere beviser, der afslører, at angrebene er russiske, såsom stavefejl på planeten Jupiters navn. “Derudover, Morphisec-forskere kørte en omvendt Google-billedsøgning af C2-adminpanelbilledet og var ikke overraskede over at finde det nøjagtige billede på russisk-fora,” konkluderer forskerne.
Et andet eksempel på en bemærkelsesværdig trojan med informations stjælefunktioner er Astaroth-malware.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: