Η νέα έκδοση του κακόβουλου λογισμικού Jupyter διανέμεται μέσω του προγράμματος εγκατάστασης MSI

Helga SmithΣεπτέμβριος 27, 2021Τελευταία ενημέρωση: Σεπτέμβριος 27, 2021

72 1 λεπτό διάβασμα

Ερευνητές ασφάλειας μίλησε σχετικά με μια νέα έκδοση του κακόβουλου λογισμικού Jupyter, ένα info-stealer γραμμένο στη γλώσσα προγραμματισμού .NET που είναι γνωστή για επιτίθεται μόνο ιατρικούς και εκπαιδευτικούς οργανισμούς.

Η νέα αλυσίδα λοίμωξης, ανακαλύφθηκε από τους ειδικούς της εταιρείας ασφάλειας πληροφοριών Morphisec τον Σεπτέμβριο 8, 2021, όχι μόνο επιβεβαιώνει τη συνεχιζόμενη δραστηριότητα του κακόβουλου λογισμικού, αλλά και καταδεικνύει “πώς οι εγκληματίες στον κυβερνοχώρο συνεχίζουν να αναπτύσσουν τις επιθέσεις τους για να τις κάνουν πιο αποτελεσματικές και άπιαστες.”

Καταγράφηκε για πρώτη φορά τον Νοέμβριο 2020, ο Jupyter (επίσης γνωστός ως Ηλιακοί δείκτες) Το κακόβουλο λογισμικό δημιουργήθηκε από Ρώσους προγραμματιστές και έχει σχεδιαστεί για να κλέβει δεδομένα από τον Firefox, Προγράμματα περιήγησης Chrome και Chromium.

Ο Jupyter είναι ένας infostealer που στοχεύει κυρίως το Chromium, Firefox, και τα δεδομένα του προγράμματος περιήγησης Chrome. Ωστόσο, την αλυσίδα επίθεσης της, διανομή, και ο φορτωτής επιδεικνύουν πρόσθετες δυνατότητες για πλήρη λειτουργικότητα της πίσω πόρτας.Έγραψαν οι ερευνητές της Morphisec.

Επιπλέον, Το κακόβουλο λογισμικό είναι μια πλήρης backdoor και είναι σε θέση να κλέψει δεδομένα και να τα ανεβάσει σε απομακρυσμένο διακομιστή, φόρτωση και εκτέλεση ωφέλιμου φορτίου. Σύμφωνα με τη Morphisec, νέες εκδόσεις του Jupyter έχουν αρχίσει να εμφανίζονται από τον Μάιο 2020.

Ο προγραμματιστής Jupyter τροποποιεί και συμπληρώνει συνεχώς το πρωτότυπο Jupyter σε μια προσπάθεια να συλλέξει όσο το δυνατόν περισσότερες πληροφορίες σχετικά με τα παραβιασμένα μηχανήματα. Δεν είναι ακόμη σαφές ποιος είναι ο τελικός στόχος αυτής της καμπάνιας, αλλά στη θεωρία, κλεμμένα δεδομένα μπορούν να χρησιμοποιηθούν προς πώληση, και οι χάκερ μπορούν να χρησιμοποιούν παραβιασμένα μηχανήματα ως σημεία εισόδου στα δίκτυα των εταιρειών για περαιτέρω επιθέσεις.γράφουν οι ερευνητές.

Τον Αύγουστο 2021, Cisco Talos οι ειδικοί απέδωσαν τις επιθέσεις σε “ένας πραγματικά επιδέξιος επιθετικός, αποσκοπεί κυρίως στην κλοπή διαπιστευτηρίων και άλλων δεδομένων.”

Τον Φεβρουάριο του τρέχοντος έτους, εταιρεία κυβερνοασφάλειας CrowdStrike περιέγραψε το κακόβουλο λογισμικό ως συσκευασμένο σε πολλά στάδια, πολύ θολωμένος φορτωτής PowerShell, που οδηγεί στην εκτέλεση μιας πίσω πόρτας στο .NET.

Αν και οι προηγούμενες επιθέσεις χρησιμοποιούσαν νόμιμα αρχεία γνωστού λογισμικού όπως το Docx2Rtf και το Expert PDF, η πρόσφατα ανακαλυφθείσα αλυσίδα λοιμώξεων άρχισε να χρησιμοποιεί την εφαρμογή Nitro Pro PDF.

Η επίθεση ξεκινά με την ανάπτυξη ενός MSI το πρόγραμμα εγκατάστασης που τελείωσε 100 MB σε μέγεθος, επιτρέποντας στους επιτιθέμενους να παρακάμπτουν λύσεις κατά των ιών. Το πρόγραμμα εγκατάστασης μπερδεύεται χρησιμοποιώντας το πακέτο εφαρμογών Advanced Installer τρίτου μέρους.

Μόλις ξεκινήσει το MSI, ένα πρόγραμμα λήψης PowerShell εκτελείται ενσωματωμένο σε ένα νόμιμο Nitro Pro 13 αρχείο, οι δύο εκδόσεις των οποίων είναι υπογεγραμμένες με αυθεντικά ψηφιακά πιστοποιητικά από έγκυρη εταιρεία στην Πολωνία. Τελικά, ο φορτωτής αποκωδικοποιεί και εκτελεί τη μονάδα .NET Jupyter στη μνήμη.

Επιτρέψτε μου να σας υπενθυμίσω ότι μίλησα επίσης για το γεγονός ότι Swarez Trojan and Dropper Distributed under the Masqueise of 15 Δημοφιλή Παιχνίδια.

Ετικέτες

Helga SmithΣεπτέμβριος 27, 2021Τελευταία ενημέρωση: Σεπτέμβριος 27, 2021

72 1 λεπτό διάβασμα

Η νέα έκδοση του κακόβουλου λογισμικού Jupyter διανέμεται μέσω του προγράμματος εγκατάστασης MSI

Helga Smith

Αφήστε μια απάντησηΑκύρωση απάντησης

Remove BGZQ Ransomware Virus (+DECRYPT .bgzq Files)

Remove BGJS Ransomware Virus (+DECRYPT .bgjs Files)

Καταργήστε τον ιό KAAA Ransomware (+DECRYPT .file Αρχεία)

Καταργήστε τον ιό UAJS Ransomware (+ΑΠΟΚΡΥΠΤΩΣΗ Αρχείων .uajs)

Καταργήστε τον ιό UAZQ Ransomware (+DECRYPT Αρχεία .uazq)

Καταργήστε τον ιό VOOK Ransomware (+DECRYPT .vook Αρχεία)

Καταργήστε τον ιό LOOY Ransomware (+ΑΠΟΚΡΥΠΤΩΣΗ Αρχείων .looy)

Καταργήστε τον ιό KOOL Ransomware (+ΑΠΟΚΡΥΠΤΩΣΗ Αρχείων .kool)

Καταργήστε τον ιό NOOD Ransomware (+DECRYPT .nood Αρχεία)

Καταργήστε τον ιό WIAW Ransomware (+DECRYPT Αρχεία .wiaw)

Καταργήστε τον ιό WISZ Ransomware (+DECRYPT Αρχεία .wisz)

Καταργήστε τον ιό LKFR Ransomware (+DECRYPT Αρχεία .lkfr)

Καταργήστε τον ιό LKHY Ransomware (+DECRYPT .lkhy Αρχεία)

Καταργήστε τον ιό LDHY Ransomware (+DECRYPT .ldhy Αρχεία)

Καταργήστε τον ιό KVIP Ransomware (+DECRYPT Αρχεία .kvip)

Helga Smith

Το ηλεκτρονικό έγκλημα BulletProofLink προσφέρει ηλεκτρονικό ψάρεμα ως υπηρεσία

Το κακόβουλο λογισμικό BluStealer κλέβει κρυπτονομίσματα και εξαπλώνεται μέσω ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος (phishing)

Αφήστε μια απάντησηΑκύρωση απάντησης

Σχετικά Άρθρα

Η νέα έκδοση του Magniber Ransomware απειλεί τα Windows 11 Χρήστες

Ο εκβιαστής καλής θέλησης αναγκάζει τα θύματα σε καλές πράξεις

Το Russian Fronton Botnet μπορεί να κάνει πολλά περισσότερα από τις μαζικές επιθέσεις DDoS

Η Microsoft προειδοποιεί για αυξημένη δραστηριότητα κακόβουλου λογισμικού XorDdos