Beveiligingsonderzoekers hebben een nieuw stukje infostealing-malware ontdekt, genaamd Jupyter. De malware is een .NET-infostealer die zich voornamelijk richt op Chromium, Firefox, en Chrome-browsergegevens, zeggen Morphisec-onderzoekers.
Jupyter Infostealer
Volgens het onderzoek, de malware vertoont veel mogelijkheden die een volledige achterdeurfunctionaliteit mogelijk maken. Deze mogelijkheden omvatten een command-and-control-client, het downloaden en uitvoeren van malware en PowerShell-scrips, evenals shellcode ingevoegd in legitieme Windows-configuratie-apps.
Hoe begint de Jupyter-aanval?
De aanvalsketen van Jupyter begint meestal met een gedownload zip-bestand dat een installatieprogramma bevat, een uitvoerbaar bestand dat gewoonlijk legitieme software nabootst, zoals Docx2Rtf. Sommige van deze installateurs hebben gehandhaafd 0 detecties in VirusTotal gedurende de laatste 6 maanden, waardoor het uitzonderlijk is in het omzeilen van de meeste scanfuncties voor endpointbeveiliging, Morphisec zegt.
Zodra het installatieprogramma is uitgevoerd, de Jupyter-lader in de vorm van een .NET-client wordt in het geheugen geïnjecteerd. De opdrachtgever kenmerkt zich door een goed gebouwd communicatieprotocol, versiebeheer matrix, en persistentiemodules.
De volgende fase omvat de uitvoering van een PowerShell-opdracht, die de .NET-module activeert. Beide .NET-componenten hebben vergelijkbare codestructuren, code verduistering, en unieke UID-implementatie. Al deze elementen wijzen op een end-to-end framework dat is ontworpen om de infostealer in gecompromitteerde systemen te implementeren.
Wanneer vonden de eerste Jupyter-aanvallen plaats??
De onderzoekers observeren sinds mei van dit jaar een gestage stroom forensische gegevens die naar Jupyter wijzen. “Terwijl veel van de C2's niet langer actief zijn, ze kwamen consequent in kaart met Rusland toen we ze konden identificeren,” Morphisec voegt eraan toe.
Er is meer bewijs waaruit blijkt dat de aanslagen Russisch zijn, zoals de spelfout van de naam van de planeet Jupiter. “Bovendien, Morphisec-onderzoekers voerden een omgekeerde Google Image-zoekopdracht uit van de afbeelding van het C2-beheerderspaneel en waren niet verrast om de exacte afbeelding op Russisch-talige forums te vinden,” concluderen de onderzoekers.
Een ander voorbeeld van een opmerkelijk Trojaans paard met mogelijkheden om informatie te stelen is de Astaroth-malware.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: