Den nye version af Jupyter -malware distribueres via MSI -installationsprogrammet

Helga Smithseptember 27, 2021Sidst opdateret: september 27, 2021
72 1 minuts læsning

Sikkerhedsforskere talte om en ny version af Jupyter -malware, en info-stjæler skrevet i .NET programmeringssprog, der er kendt for angriber kun medicinske og uddannelsesmæssige organisationer.

Den nye infektionskæde, opdaget af specialisterne i informationssikkerhedsfirmaet Morphisec september 8, 2021, bekræfter ikke kun den igangværende aktivitet af malware, men demonstrerer også “hvordan cyberkriminelle fortsat udvikler deres angreb for at gøre dem mere effektive og undvigende.”

Først dokumenteret i november 2020, det Jupyter (også kendt som Solmarkører) malware blev angiveligt oprettet af russiske udviklere og er designet til at stjæle data fra Firefox, Chrome- og Chrom-baserede browsere.

Jupyter er en infostealer, der primært er målrettet mod Chrom, Firefox, og Chrome -browserdata. Imidlertid, dens angrebskæde, levering, og læsser demonstrere yderligere muligheder for fuld bagdørs funktionalitet.Morphisec -forskere skrev.

Desuden, malware er en fuldgyldig bagdør og er i stand til at stjæle data og uploade dem til en ekstern server, uploade og udføre nyttelast. Ifølge Morphisec, nye versioner af Jupyter er begyndt at dukke op siden maj 2020.

Jupyter -udvikler ændrer og supplerer konstant den originale Jupyter i et forsøg på at indsamle så mange oplysninger som muligt om de kompromitterede maskiner. Det er endnu ikke klart, hvad det endelige mål med denne kampagne er, men i teorien, stjålne data kan bruges til salg, og hackere kan bruge kompromitterede maskiner som indgangspunkter til virksomheders netværk til yderligere angreb.skriver forskerne.

I august 2021, Cisco Talos eksperter tilskrev angrebene til “en virkelig dygtig angriber, primært rettet mod at stjæle legitimationsoplysninger og andre data.”

I februar i år, cybersikkerhedsfirma CrowdStrike beskrev malware som pakket i flere trin, stærkt tilsløret PowerShell -læsser, hvilket fører til udførelse af en bagdør på .NET.

Selvom tidligere angreb brugte legitime filer af velkendt software som Docx2Rtf og Expert PDF, den nyligt opdagede kæde af infektioner begyndte at bruge Nitro Pro PDF -applikationen.

Angrebet begynder med at implementere en MSI installatør, der er slut 100 MB i størrelse, tillader angribere at omgå antivirusløsninger. Installationsprogrammet er tilsløret ved hjælp af tredjeparts programpakker til Advanced Installer.

Når MSI er lanceret, en PowerShell -downloader udføres indlejret i en legitim Nitro Pro 13 fil, hvis to versioner er underskrevet med autentiske digitale certifikater fra et gyldigt firma i Polen. Langt om længe, loader dekoder og kører .NET Jupyter -modulet i hukommelsen.

Lad mig minde dig om, at jeg også talte om det faktum, at Swarez Trojan og Dropper distribueret under forklædning af 15 Populære spil.

Mærker
Helga Smithseptember 27, 2021Sidst opdateret: september 27, 2021
72 1 minuts læsning

Helga Smith

Jeg var altid interesseret i datalogi, især datasikkerhed og temaet, som kaldes i dag "datavidenskab", siden mine tidlige teenagere. Før du kommer ind i Virus Removal-teamet som chefredaktør, Jeg arbejdede som cybersikkerhedsekspert i flere virksomheder, inklusive en af ​​Amazons entreprenører. En anden oplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Efterlad et Svar

Dette websted bruger Akismet at reducere spam. Lær hvordan din kommentar data behandles.

Tilbage til toppen knap