Die neue Version der Jupyter-Malware wird über das MSI-Installationsprogramm verteilt

Sicherheitsforscher geredet über eine neue Version der Jupyter-Malware, ein in der Programmiersprache .NET geschriebener Info-Stealer, für den bekannt ist angreifend nur medizinische und pädagogische Organisationen.

Die neue Infektionskette, entdeckt von den Spezialisten des Informationssicherheitsunternehmens Morphisec Im September 8, 2021, bestätigt nicht nur die laufende Aktivität der Malware, aber auch demonstriert “wie Cyberkriminelle ihre Angriffe weiterentwickeln, um sie effektiver und schwer fassbarer zu machen.”

Erstmals urkundlich im November 2020, das Jupyter (auch bekannt als Solarmarker) Malware wurde angeblich von russischen Entwicklern erstellt und soll Daten aus Firefox stehlen, Chrome und Chromium-basierte Browser.

Jupyter ist ein Infostealer, der hauptsächlich auf Chrom abzielt, Feuerfuchs, und Chrome-Browserdaten. jedoch, seine Angriffskette, Lieferung, und Loader demonstrieren zusätzliche Fähigkeiten für die volle Backdoor-Funktionalität.Morphisec-Forscher schrieben.

In Ergänzung, Die Malware ist eine vollwertige Hintertür und kann Daten stehlen und auf einen Remote-Server hochladen, Hochladen und Ausführen von Nutzdaten. Laut Morphisec, Seit Mai erscheinen neue Versionen von Jupyter 2020.

Der Jupyter-Entwickler modifiziert und ergänzt ständig den ursprünglichen Jupyter, um so viele Informationen wie möglich über die kompromittierten Maschinen zu sammeln. Es ist noch nicht klar, was das ultimative Ziel dieser Kampagne ist, aber theoretisch, gestohlene Daten können zum Verkauf verwendet werden, und Hacker können kompromittierte Maschinen als Einstiegspunkte in Unternehmensnetzwerke für weitere Angriffe nutzen.die Forscher schreiben.

Im August 2021, Cisco Talos Experten führten die Angriffe auf “ein wirklich hochqualifizierter Angreifer, hauptsächlich darauf abzielt, Anmeldeinformationen und andere Daten zu stehlen.”

Im Februar dieses Jahres, Cybersicherheitsunternehmen CrowdStrike beschrieb die Malware als mehrstufig verpackt, stark verschleierter PowerShell-Loader, was zur Ausführung einer Hintertür auf .NET führt.

Obwohl bei früheren Angriffen legitime Dateien bekannter Software wie Docx2Rtf und Expert PDF verwendet wurden, die kürzlich entdeckte Infektionskette begann, die Nitro Pro PDF-Anwendung zu verwenden.

Der Angriff beginnt mit dem Einsatz eines MSI Installer, der vorbei ist 100 MB groß, Angreifern ermöglichen, Antivirenlösungen zu umgehen. Das Installationsprogramm wird mit dem Advanced Installer-Anwendungspacker eines Drittanbieters verschleiert.

Sobald das MSI gestartet ist, ein PowerShell-Downloader wird eingebettet in ein legitimes Nitro Pro ausgeführt 13 Datei, deren zwei Versionen mit authentischen digitalen Zertifikaten von einem gültigen Unternehmen in Polen signiert sind. Endlich, der Loader dekodiert und führt das .NET Jupyter-Modul im Speicher aus.

Lassen Sie mich daran erinnern, dass ich auch darüber gesprochen habe, dass Swarez-Trojaner und -Dropper werden unter dem Deckmantel von verteilt 15 Beliebte Spiele.

Helga Smith

Ich habe mich schon immer für Informatik interessiert, insbesondere Datensicherheit und das Thema, das heißt heute "Datenwissenschaft", seit meiner frühen Jugend. Bevor Sie als Chefredakteur in das Virus Removal Team eintreten, Ich habe als Cybersecurity-Experte in mehreren Unternehmen gearbeitet, einschließlich eines der Vertragspartner von Amazon. Eine andere Erfahrung: Ich habe Lehraufträge an den Universitäten Arden und Reading.

Hinterlasse eine Antwort

Diese Seite nutzt Akismet Spam zu reduzieren. Erfahren Sie, wie Sie Ihren Kommentar Daten verarbeitet.

Schaltfläche "Zurück zum Anfang"