セキュリティ研究者は、Jupyterと呼ばれる新しい情報盗用マルウェアを発見しました. このマルウェアは、主にChromiumを標的とする.NETinfostealerです。, Firefox, およびChromeブラウザデータ, モルフィセックの研究者は言う.
Jupyter Infostealer
調査によると, マルウェアは、完全なバックドア機能を可能にする多くの機能を示しています. これらの機能には、コマンドアンドコントロールクライアントが含まれます, マルウェアとPowerShellスクリプトのダウンロードと実行, 正規のWindows構成アプリに挿入されたシェルコードも同様です.
Jupyter攻撃はどのように始まりますか?
Jupyterの攻撃チェーンは通常、インストーラーを含むダウンロードされたzipファイルから始まります。, 通常、Docx2Rtfなどの正規のソフトウェアになりすます実行可能ファイル. これらのインストーラーのいくつかは維持されています 0 過去のVirusTotalでの検出 6 月, ほとんどのエンドポイントセキュリティスキャン制御をバイパスすることで例外的になります, モルフィセックは言う.
インストーラーが実行されると, .NETクライアントの形式のJupyterローダーがメモリに挿入されます. クライアントは、しっかりと構築された通信プロトコルによって特徴付けられます, バージョニングマトリックス, および永続化モジュール.
次の段階には、PowerShellコマンドの実行が含まれます, .NETモジュールをアクティブにします. 両方の.NETコンポーネントは、同様のコード構造を示します, コードの難読化, 独自のUID実装. これらの要素はすべて、侵害されたシステムに情報スティーラーを実装するように設計されたエンドツーエンドのフレームワークを指しています。.
最初のJupyter攻撃はいつ行われましたか?
研究者たちは、今年5月以来、Jupyterを指すフォレンジックデータの安定した流れを観察しています。. “C2の多くはもうアクティブではありませんが, 私たちがそれらを特定することができたとき、それらは一貫してロシアにマッピングされました,” Morphisecは追加します.
攻撃がロシア人であることを明らかにするより多くの証拠があります, 惑星木星の名前のスペルミスなど. “さらに, Morphisecの研究者は、C2管理パネル画像の逆Google画像検索を実行し、ロシア語のフォーラムで正確な画像を見つけても驚かなかった。,” 研究者は結論します.
情報を盗む機能を備えた注目すべきトロイの木馬のもう1つの例は、 アスタロトマルウェア.