Sicherheitsforscher entdeckten eine neue Infostealing-Malware namens Jupyter. Die Malware ist ein .NET-Infostealer, der hauptsächlich auf Chromium abzielt, Firefox, und Chrome-Browserdaten, sagen Morphisec-Forscher.
Jupyter Infostealer
Nach den Forschungen, Die Malware zeigt viele Funktionen, die eine vollständige Backdoor-Funktionalität ermöglichen. Diese Funktionen umfassen einen Befehls- und Steuerungsclient, das Herunterladen und Ausführen von Malware und PowerShell-Skripten, sowie Shellcode, der in legitime Windows-Konfigurations-Apps eingefügt wurde.
Wie beginnt der Jupyter-Angriff??
Die Angriffskette von Jupyter beginnt normalerweise mit einer heruntergeladenen Zip-Datei, die ein Installationsprogramm enthält, Eine ausführbare Datei, die sich normalerweise als legitime Software wie Docx2Rtf ausgibt. Einige dieser Installer haben gewartet 0 Erkennungen in VirusTotal im letzten 6 Monate, Dies macht es außergewöhnlich, die meisten Sicherheitskontrollen für Endpunkte zu umgehen, Morphisec sagt.
Sobald das Installationsprogramm ausgeführt wird, Der Jupyter-Loader in Form eines .NET-Clients wird in den Speicher eingefügt. Der Client zeichnet sich durch ein gut aufgebautes Kommunikationsprotokoll aus, Versionierungsmatrix, und Persistenzmodule.
Die nächste Stufe umfasst die Ausführung eines PowerShell-Befehls, Dadurch wird das .NET-Modul aktiviert. Beide .NET-Komponenten weisen ähnliche Codestrukturen auf, Code-Verschleierung, und einzigartige UID-Implementierung. Alle diese Elemente weisen auf ein End-to-End-Framework hin, mit dem der Infostealer in gefährdeten Systemen implementiert werden kann.
Wann fanden die ersten Jupyter-Angriffe statt??
Die Forscher beobachten seit Mai dieses Jahres einen stetigen Fluss forensischer Daten, die auf Jupyter hinweisen. “Während viele der C2s nicht mehr aktiv sind, Sie wurden konsequent auf Russland abgebildet, als wir sie identifizieren konnten,” Morphisec fügt hinzu.
Es gibt weitere Beweise dafür, dass die Angriffe russisch sind, wie die falsche Schreibweise des Namens des Planeten Jupiter. “Zusätzlich, Morphisec-Forscher führten eine umgekehrte Google-Bildsuche des C2-Admin-Panel-Bildes durch und waren nicht überrascht, das genaue Bild in russischsprachigen Foren zu finden,” schließen die Forscher.
Ein weiteres Beispiel für einen bemerkenswerten Trojaner mit Funktionen zum Stehlen von Informationen ist die Astaroth-Malware.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: