I ricercatori di sicurezza hanno individuato un nuovo malware chiamato Jupyter. Il malware è un infostealer .NET che prende di mira principalmente Chromium, Firefox, e i dati del browser Chrome, affermano i ricercatori Morphisec.
Jupyter Infostealer
Secondo la ricerca, il malware mostra molte capacità che abilitano una funzionalità backdoor completa. Queste funzionalità includono un client di comando e controllo, il download e l'esecuzione di malware e script di PowerShell, così come lo shellcode inserito nelle app di configurazione di Windows legittime.
Come inizia l'attacco di Jupyter?
La catena di attacchi di Jupyter inizia in genere con un file zip scaricato che contiene un programma di installazione, un eseguibile che di solito impersona software legittimo come Docx2Rtf. Alcuni di questi programmi di installazione hanno mantenuto 0 rilevamenti in VirusTotal negli ultimi 6 mesi, rendendolo eccezionale nel bypassare la maggior parte dei controlli di scansione della sicurezza degli endpoint, Dice Morphisec.
Una volta eseguito il programma di installazione, il caricatore Jupyter sotto forma di client .NET viene iniettato nella memoria. Il client è caratterizzato da un protocollo di comunicazione ben costruito, matrice di controllo delle versioni, e moduli di persistenza.
La fase successiva include l'esecuzione di un comando PowerShell, che attiva il modulo .NET. Entrambi i componenti .NET presentano strutture di codice simili, offuscamento del codice, e implementazione UID unica. Tutti questi elementi puntano a un framework end-to-end progettato per implementare l'infostealer in sistemi compromessi.
Quando hanno avuto luogo i primi attacchi di Jupyter?
I ricercatori hanno osservato un flusso costante di dati forensi che puntano a Jupyter da maggio di quest'anno. “Mentre molti dei C2 non sono più attivi, hanno costantemente mappato la Russia quando siamo stati in grado di identificarli,” Morphisec aggiunge.
Ci sono altre prove che rivelano che gli attacchi sono russi, come l'errore di ortografia del nome del pianeta Giove. “Inoltre, I ricercatori di Morphisec hanno eseguito una ricerca inversa di Google Image dell'immagine del pannello di amministrazione C2 e non sono stati sorpresi di trovare l'immagine esatta sui forum in lingua russa,” concludono i ricercatori.
Un altro esempio di un notevole Trojan con capacità di furto di informazioni è il malware Astaroth.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: