Los investigadores de seguridad detectaron una nueva pieza de malware de robo de información llamada Jupyter. El malware es un infostealer .NET que se dirige principalmente a Chromium, Firefox, y datos del navegador Chrome, dicen los investigadores de Morphisec.
Infostealer de Jupyter
Según la investigación, el malware demuestra muchas capacidades que permiten una funcionalidad de puerta trasera completa. Estas capacidades incluyen un cliente de comando y control, la descarga y ejecución de malware y scripts de PowerShell, así como shellcode insertado en aplicaciones legítimas de configuración de Windows.
¿Cómo comienza el ataque de Jupyter??
La cadena de ataque de Jupyter generalmente comienza con un archivo zip descargado que contiene un instalador, un ejecutable que generalmente se hace pasar por software legítimo como Docx2Rtf. Algunos de estos instaladores han mantenido 0 detecciones en VirusTotal durante el último 6 meses, lo que lo hace excepcional para evitar la mayoría de los controles de escaneo de seguridad de endpoints, Morphisec dice.
Una vez que se ejecuta el instalador, el cargador de Jupyter en forma de cliente .NET se inyecta en la memoria. El cliente se caracteriza por un protocolo de comunicación bien construido, matriz de versiones, y módulos de persistencia.
La siguiente etapa incluye la ejecución de un comando de PowerShell, que activa el módulo .NET. Ambos componentes .NET presentan estructuras de código similares, ofuscación de código, e implementación de UID única. Todos estos elementos apuntan a un marco integral diseñado para implementar el infostealer en sistemas comprometidos.
¿Cuándo tuvieron lugar los primeros ataques de Jupyter??
Los investigadores han estado observando un flujo constante de datos forenses que apuntan a Jupyter desde mayo de este año.. “Si bien muchos de los C2 ya no están activos, se asignaron constantemente a Rusia cuando pudimos identificarlos,” Morphisec agrega.
Hay más evidencia que revela que los ataques son rusos., como el error ortográfico del nombre del planeta Júpiter. “Además, Los investigadores de Morphisec realizaron una búsqueda inversa de imágenes de Google de la imagen del panel de administración de C2 y no se sorprendieron al encontrar la imagen exacta en los foros en ruso.,” los investigadores concluyen.
Otro ejemplo de un troyano notable con capacidades de robo de información es el malware Astaroth.