Jupyter -haittaohjelman uusi versio jaetaan MSI -asennusohjelman kautta

Helga Smithsyyskuu 27, 2021Viimeksi päivitetty: syyskuu 27, 2021
72 1 minuutti luettu

Turvallisuustutkijat puhunut Jupyter -haittaohjelman uudesta versiosta, info-varastaja, joka on kirjoitettu tunnetulla .NET-ohjelmointikielellä hyökkää vain lääketieteelliset ja koulutusorganisaatiot.

Uusi tartuntaketju, tietoturvayrityksen asiantuntijat löysivät Morphisec syyskuussa 8, 2021, ei vain vahvista haittaohjelman jatkuvaa toimintaa, vaan myös osoittaa “miten tietoverkkorikolliset kehittävät edelleen hyökkäyksiään tehdäkseen niistä tehokkaampia ja vaikeasti tavoitettavia.”

Ensimmäinen dokumentointi marraskuussa 2020, the Jupyter (tunnetaan myös Aurinkomerkit) haittaohjelmien väitettiin olevan venäläisten kehittäjien luomia ja niiden tarkoituksena on varastaa tietoja Firefoxista, Chrome- ja Chromium-pohjaiset selaimet.

Jupyter on infostaleri, joka kohdistuu ensisijaisesti Chromiumiin, Firefox, ja Chrome -selaintiedot. kuitenkin, sen hyökkäysketju, toimitus, ja kuormaaja osoittavat lisäominaisuuksia takaoven täydelliseen toimivuuteen.Morphisecin tutkijat kirjoittivat.

Lisäksi, haittaohjelma on täysimittainen takaovi ja pystyy varastamaan tietoja ja lataamaan ne etäpalvelimelle, hyötykuorman lataaminen ja suorittaminen. Morphisecin mukaan, Jupyterin uudet versiot ovat alkaneet ilmestyä toukokuusta lähtien 2020.

Jupyter -kehittäjä muokkaa ja täydentää jatkuvasti alkuperäistä Jupyteriä pyrkiäkseen keräämään mahdollisimman paljon tietoa vaarantuneista koneista. Vielä ei ole selvää, mikä tämän kampanjan lopullinen tavoite on, mutta teoriassa, varastettuja tietoja voidaan käyttää myyntiin, ja hakkerit voivat käyttää vaarantuneita koneita pääsypisteinä yritysten verkkoihin uusille hyökkäyksille.tutkijat kirjoittavat.

Elokuussa 2021, Cisco Talos asiantuntijat luulivat hyökkäyksen syyksi “todella taitava hyökkääjä, ensisijaisesti varkauksien ja muiden tietojen varastamiseen.”

Tämän vuoden helmikuussa, kyberturvallisuusyhtiö CrowdStrike kuvaili haittaohjelmaa monivaiheiseksi pakattuna, voimakkaasti hämärtynyt PowerShell -latauslaite, joka johtaa takaoven suorittamiseen .NET -verkossa.

Vaikka aiemmissa hyökkäyksissä käytettiin laillisia tiedostoja tunnetuista ohjelmistoista, kuten Docx2Rtf ja Expert PDF, äskettäin löydetty infektioketju alkoi käyttää Nitro Pro PDF -sovellusta.

Hyökkäys alkaa ottamalla käyttöön MSI asennusohjelma, joka on ohi 100 Mt kokoisia, antaa hyökkääjien ohittaa virustorjuntaratkaisut. Asentaja hämmentyy kolmannen osapuolen Advanced Installer -sovelluspaketin avulla.

Kun MSI käynnistetään, PowerShell -latausohjelma suoritetaan upotettuna lailliseen Nitro Pro -laitteeseen 13 tiedosto, jonka kaksi versiota on allekirjoitettu aitoilla digitaalisilla varmenteilla kelvolliselta Puolan yritykseltä. vihdoin, kuormaaja purkaa ja käyttää .NET Jupyter -moduulia muistissa.

Haluan muistuttaa teitä siitä, että puhuin myös siitä Swarez Troijalainen ja Dropper jaettu alla 15 Suositut pelit.

Tunnisteet
Helga Smithsyyskuu 27, 2021Viimeksi päivitetty: syyskuu 27, 2021
72 1 minuutti luettu

Helga Smith

Olin aina kiinnostunut tietojenkäsittelytieteistä, erityisesti tietoturva ja teema, jota kutsutaan nykyään "datatiede", jo varhaisesta teini-ikäisestäni. Ennen tulemista viruksenpoistotiimiin päätoimittajana, Olen työskennellyt kyberturvallisuuden asiantuntijana useissa yrityksissä, mukaan lukien yksi Amazonin urakoitsijoista. Toinen kokemus: Olen opettanut Ardenin ja Readingin yliopistoissa.

Jätä vastaus

Tämä sivusto käyttää Akismet roskapostin vähentämiseksi. Opi kommenttisi tietoja käsitellään.

Takaisin alkuun-painike