La nueva versión del malware Jupyter se distribuye a través del instalador MSI.

Helga Smithseptiembre 27, 2021Última actualización: septiembre 27, 2021
72 1 minuto de lectura

Investigadores de seguridad habló sobre una nueva versión del malware Jupyter, un ladrón de información escrito en el lenguaje de programación .NET que es conocido por agresor solo organizaciones médicas y educativas.

La nueva cadena de infección, descubierto por los especialistas de la empresa de seguridad de la información Morphisec en septiembre 8, 2021, no solo confirma la actividad en curso del malware, pero también demuestra “cómo los ciberdelincuentes continúan desarrollando sus ataques para hacerlos más efectivos y elusivos.”

Documentado por primera vez en noviembre 2020, la Jupyter (también conocido como Marcadores solares) El malware supuestamente fue creado por desarrolladores rusos y está diseñado para robar datos de Firefox., Navegadores Chrome y basados ​​en Chromium.

Jupyter es un infostealer que se dirige principalmente a Chromium, Firefox, y datos del navegador Chrome. sin embargo, su cadena de ataque, entrega, y el cargador demuestran capacidades adicionales para una funcionalidad de puerta trasera completa.Los investigadores de Morphisec escribieron.

Adicionalmente, el malware es una puerta trasera en toda regla y es capaz de robar datos y cargarlos en un servidor remoto, cargando y ejecutando payload. Según Morphisec, nuevas versiones de Jupyter han comenzado a aparecer desde mayo 2020.

El desarrollador de Jupyter está modificando y complementando constantemente el Jupyter original en un esfuerzo por recopilar la mayor cantidad de información posible sobre las máquinas comprometidas.. Aún no está claro cuál es el objetivo final de esta campaña., pero en teoria, los datos robados se pueden usar para la venta, y los piratas informáticos pueden utilizar máquinas comprometidas como puntos de entrada a las redes de las empresas para realizar más ataques..los investigadores escriben.

En agosto 2021, Cisco Talos los expertos atribuyeron los ataques a “un atacante verdaderamente altamente calificado, dirigido principalmente a robar credenciales y otros datos.”

En febrero de este año, empresa de ciberseguridad CrowdStrike describió el malware como empaquetado en varias etapas, Cargador de PowerShell muy ofuscado, que conduce a la ejecución de una puerta trasera en .NET.

Aunque los ataques anteriores utilizaban archivos legítimos de software conocido como Docx2Rtf y Expert PDF, la cadena de infecciones recientemente descubierta comenzó a utilizar la aplicación Nitro Pro PDF.

El ataque comienza con el despliegue de un MSI instalador que se acabó 100 MB de tamaño, Permitir a los atacantes eludir las soluciones antivirus.. El instalador se ofusca mediante el empaquetador de aplicaciones del instalador avanzado de terceros..

Una vez que se lanza el MSI, se ejecuta un descargador de PowerShell integrado en un Nitro Pro legítimo 13 expediente, cuyas dos versiones están firmadas con certificados digitales auténticos de una empresa válida en Polonia. Finalmente, el cargador decodifica y ejecuta el módulo .NET Jupyter en la memoria.

Déjame recordarte que también hablé sobre el hecho de que Troyano y cuentagotas Swarez distribuidos bajo el disfraz de 15 Juegos populares.

Etiquetas
Helga Smithseptiembre 27, 2021Última actualización: septiembre 27, 2021
72 1 minuto de lectura

Helga Smith

Siempre me interesaron las ciencias de la computación., especialmente la seguridad de los datos y el tema, que se llama hoy en día "Ciencia de los datos", desde mi adolescencia. Antes de ingresar al equipo de eliminación de virus como editor en jefe, Trabajé como experto en ciberseguridad en varias empresas., incluido uno de los contratistas de Amazon. Otra experiencia: He enseñado en las universidades de Arden y Reading..

Deja una respuesta

Este sitio utiliza para reducir el spam Akismet. Aprender cómo se procesa sus datos comentario.

Botón volver arriba