Pesquisadores de segurança identificaram um novo malware de infostealing chamado Jupyter. O malware é um infostealer .NET que visa principalmente o Chromium, Raposa de fogo, e dados do navegador Chrome, dizem os pesquisadores da Morphisec.
Jupyter Infostealer
De acordo com a pesquisa, o malware demonstra muitos recursos que permitem uma funcionalidade backdoor completa. Esses recursos incluem um cliente de comando e controle, o download e a execução de malware e scripts PowerShell, bem como shellcode inserido em aplicativos legítimos de configuração do Windows.
Como o ataque Jupyter começa?
A cadeia de ataque do Jupyter normalmente começa com um arquivo zip baixado que contém um instalador, um executável que geralmente representa um software legítimo, como Docx2Rtf. Alguns desses instaladores mantiveram 0 detecções no VirusTotal nos últimos 6 meses, tornando-o excepcional em contornar a maioria dos controles de verificação de segurança de endpoint, Morphisec diz.
Assim que o instalador for executado, o carregador Jupyter na forma de um cliente .NET é injetado na memória. O cliente é caracterizado por um protocolo de comunicação bem construído, matriz de versionamento, e módulos de persistência.
A próxima etapa inclui a execução de um comando PowerShell, que ativa o módulo .NET. Ambos os componentes .NET apresentam estruturas de código semelhantes, ofuscação de código, e implementação UID única. Todos esses elementos apontam para uma estrutura ponta a ponta projetada para implementar o infostealer em sistemas comprometidos.
Quando os primeiros ataques de Jupyter aconteceram?
Os pesquisadores têm observado um fluxo constante de dados forenses apontando para Jupyter desde maio deste ano. “Embora muitos dos C2s não estejam mais ativos, eles foram mapeados de forma consistente para a Rússia quando fomos capazes de identificá-los,” Morphisec adiciona.
Há mais evidências revelando que os ataques são russos, como o erro de grafia do nome do planeta Júpiter. “Além disso, Os pesquisadores da Morphisec fizeram uma pesquisa reversa no Google Image da imagem do painel de administração C2 e não ficaram surpresos ao encontrar a imagem exata em fóruns de língua russa,” os pesquisadores concluem.
Outro exemplo de cavalo de Tróia notável com recursos de roubo de informações é o malware Astaroth.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: