Nová verze malwaru Jupyter je distribuována prostřednictvím instalačního programu MSI

Helga Smithzáří 27, 2021Naposledy aktualizováno: září 27, 2021
72 1 minutové čtení

Bezpečnostní výzkumníci mluvil o nové verzi malwaru Jupyter, info-stealer napsaný v programovacím jazyce .NET, který je známý pro útočící pouze lékařské a vzdělávací organizace.

Nový řetězec infekce, objevili odborníci společnosti zabývající se informační bezpečností Morphisec v září 8, 2021, nejen potvrzuje probíhající aktivitu malwaru, ale také předvádí “jak kyberzločinci nadále rozvíjejí své útoky, aby byli efektivnější a nepolapitelnější.”

Poprvé zdokumentováno v listopadu 2020, the Jupyter (také známý jako Sluneční značky) malware byl údajně vytvořen ruskými vývojáři a je navržen tak, aby kradl data z Firefoxu, Prohlížeče založené na Chrome a Chromu.

Jupyter je infostealer, který se primárně zaměřuje na Chromium, Firefox, a data prohlížeče Chrome. nicméně, jeho útočný řetěz, dodávka, a loader předvádějí další funkce pro plnou funkčnost backdooru.Vědci z Morphisec napsali.

Dále, malware je plnohodnotný backdoor a je schopen ukrást data a nahrát je na vzdálený server, nahrávání a provádění užitečného zatížení. Podle Morphisec, od května se začaly objevovat nové verze Jupyteru 2020.

Vývojář Jupyteru neustále upravuje a doplňuje původní Jupyter ve snaze shromáždit co nejvíce informací o kompromitovaných strojích. Zatím není jasné, jaký je konečný cíl této kampaně, ale teoreticky, ukradená data lze použít k prodeji, a hackeři mohou využívat napadené počítače jako vstupní body do sítí společností pro další útoky.píší vědci.

V srpnu 2021, Cisco Talos experti připisovali útoky “opravdu vysoce kvalifikovaný útočník, primárně zaměřen na krádež přihlašovacích údajů a dalších údajů.”

V únoru tohoto roku, společnost zabývající se kybernetickou bezpečností Crowd Strike popsal malware jako zabalený ve více fázích, silně zmatený zavaděč PowerShell, což vede k provedení backdooru na .NET.

Ačkoli předchozí útoky používaly legitimní soubory známého softwaru, jako jsou Docx2Rtf a Expert PDF, nedávno objevený řetězec infekcí začal používat aplikaci Nitro Pro PDF.

Útok začíná nasazením MSI instalační program, který skončil 100 Velikost MB, umožňuje útočníkům obejít antivirová řešení. Instalační program je zmaten pomocí balíčku aplikací Advanced Installer od jiného výrobce.

Jakmile je MSI spuštěno, je spuštěn nástroj pro stahování PowerShell vložený do legitimního Nitro Pro 13 soubor, jejichž dvě verze jsou podepsány autentickými digitálními certifikáty od platné společnosti v Polsku. Konečně, zavaděč dekóduje a spustí modul .NET Jupyter v paměti.

Dovolte mi připomenout, že jsem také hovořil o tom Swarez Trojan a Dropper Distribuovány pod maskou 15 Oblíbené hry.

Značky
Helga Smithzáří 27, 2021Naposledy aktualizováno: září 27, 2021
72 1 minutové čtení

Helga Smith

Vždy mě zajímaly počítačové vědy, zejména zabezpečení dat a téma, kterému se dnes říká "datová věda", od mých raných dospívajících. Před příchodem do týmu pro odstranění virů jako šéfredaktor, Pracoval jsem jako odborník na kybernetickou bezpečnost v několika společnostech, včetně jednoho z dodavatelů Amazonu. Další zkušenost: Mám výuku na univerzitách Arden a Reading.

zanechte odpověď

Tato stránka používá Akismet snížit spam. Přečtěte si, jak se váš komentář údaje zpracovávány.

Tlačítko Zpět nahoru