Des chercheurs en sécurité ont repéré un nouveau malware appelé Jupyter. Le malware est un infostealer .NET qui cible principalement Chromium, Firefox, et les données du navigateur Chrome, disent les chercheurs de Morphisec.
Jupyter Infostealer
Selon les recherches, le malware présente de nombreuses capacités qui permettent une fonctionnalité complète de porte dérobée. Ces fonctionnalités incluent un client de commande et de contrôle, le téléchargement et l'exécution de logiciels malveillants et de scrips PowerShell, ainsi que le shellcode inséré dans les applications de configuration Windows légitimes.
Comment commence l'attaque Jupyter?
La chaîne d'attaque de Jupyter commence généralement par un fichier zip téléchargé contenant un programme d'installation, un exécutable qui se fait généralement passer pour un logiciel légitime tel que Docx2Rtf. Certains de ces installateurs ont maintenu 0 détections dans VirusTotal au cours du dernier 6 mois, ce qui le rend exceptionnel pour contourner la plupart des contrôles d'analyse de sécurité des terminaux, Morphisec dit.
Une fois le programme d'installation exécuté, le chargeur Jupyter sous la forme d'un client .NET est injecté dans la mémoire. Le client se caractérise par un protocole de communication bien construit, matrice de versionnage, et modules de persistance.
L'étape suivante comprend l'exécution d'une commande PowerShell, qui active le module .NET. Les deux composants .NET présentent des structures de code similaires, obfuscation du code, et implémentation UID unique. Tous ces éléments pointent vers un cadre de bout en bout conçu pour implémenter l'infostealer dans des systèmes compromis.
Quand les premières attaques de Jupyter ont-elles eu lieu?
Les chercheurs observent un flux constant de données médico-légales pointant vers Jupyter depuis mai de cette année. “Alors que de nombreux C2 ne sont plus actifs, ils ont toujours été cartographiés en Russie lorsque nous avons pu les identifier,” Morphisec ajoute.
Il y a plus de preuves révélant que les attaques sont russes, comme la faute d’orthographe du nom de la planète Jupiter. “Plus, Les chercheurs de Morphisec ont effectué une recherche Google Image inversée de l'image du panneau d'administration C2 et n'ont pas été surpris de trouver l'image exacte sur les forums en russe.,” les chercheurs concluent.
Un autre exemple de cheval de Troie notable doté de capacités de vol d'informations est le malware Astaroth.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: