La nouvelle version du malware Jupyter est distribuée via le programme d'installation MSI

Helga Smithseptembre 27, 2021Dernière mise à jour: septembre 27, 2021
72 Temps de lecture 1 minute

Chercheurs en sécurité a parlé à propos d'une nouvelle version du malware Jupyter, un voleur d'informations écrit dans le langage de programmation .NET connu pour attaquer uniquement les organisations médicales et éducatives.

La nouvelle chaîne d'infection, découvert par les spécialistes de la société de sécurité de l'information Morphisec en septembre 8, 2021, non seulement confirme l'activité en cours du malware, mais démontre aussi “comment les cybercriminels continuent de développer leurs attaques pour les rendre plus efficaces et insaisissables.”

Documenté pour la première fois en novembre 2020, la Jupyter (aussi connu sous le nom Marqueurs solaires) le malware aurait été créé par des développeurs russes et est conçu pour voler des données de Firefox, Navigateurs Chrome et basés sur Chromium.

Jupyter est un infostealer qui cible principalement le chrome, Firefox, et les données du navigateur Chrome. toutefois, sa chaîne d'attaque, livraison, et le chargeur démontrent des capacités supplémentaires pour une fonctionnalité de porte dérobée complète.Les chercheurs de Morphisec ont écrit.

en outre, le malware est une porte dérobée à part entière et est capable de voler des données et de les télécharger sur un serveur distant, télécharger et exécuter la charge utile. D'après Morphisec, de nouvelles versions de Jupyter ont commencé à apparaître depuis mai 2020.

Le développeur de Jupyter modifie et complète constamment le Jupyter d'origine dans le but de collecter autant d'informations que possible sur les machines compromises. On ne sait pas encore quel est le but ultime de cette campagne, mais en théorie, les données volées peuvent être utilisées pour la vente, et les pirates peuvent utiliser des machines compromises comme points d'entrée dans les réseaux des entreprises pour de nouvelles attaques.les chercheurs écrivent.

En août 2021, Talos Cisco les experts ont attribué les attaques à “un attaquant vraiment hautement qualifié, principalement destiné à voler des informations d'identification et d'autres données.”

En février de cette année, entreprise de cybersécurité FouleGrève décrit le logiciel malveillant comme emballé dans un, chargeur PowerShell fortement obscurci, ce qui conduit à l'exécution d'une porte dérobée sur .NET.

Bien que les attaques précédentes aient utilisé des fichiers légitimes de logiciels bien connus tels que Docx2Rtf et Expert PDF, la chaîne d'infections récemment découverte a commencé à utiliser l'application Nitro Pro PDF.

L'attaque commence par le déploiement d'un MSI installateur terminé 100 Mo en taille, permettre aux attaquants de contourner les solutions antivirus. Le programme d'installation est masqué à l'aide du programme d'emballage d'applications Advanced Installer tiers.

Une fois le MSI lancé, un téléchargeur PowerShell est exécuté intégré dans un Nitro Pro légitime 13 déposer, dont les deux versions sont signées avec des certificats numériques authentiques d'une entreprise valide en Pologne. finalement, le chargeur décode et exécute le module .NET Jupyter en mémoire.

Permettez-moi de vous rappeler que j'ai également parlé du fait que Swarez Trojan et Dropper distribués sous le déguisement de 15 Jeux populaires.

Mots clés
Helga Smithseptembre 27, 2021Dernière mise à jour: septembre 27, 2021
72 Temps de lecture 1 minute

Helga Smith

J'ai toujours été intéressé par l'informatique, en particulier la sécurité des données et le thème, qui s'appelle de nos jours "science des données", depuis mon adolescence. Avant de rejoindre l'équipe de suppression de virus en tant que rédacteur en chef, J'ai travaillé comme expert en cybersécurité dans plusieurs entreprises, dont l'un des sous-traitants d'Amazon. Une autre expérience: J'ai enseigné dans les universités d'Arden et de Reading.

Laisser un commentaire

Ce site utilise Akismet pour réduire le spam. Découvrez comment vos données de commentaire est traité.

Bouton retour en haut de la page