A Jupyter malware új verzióját az MSI telepítőn keresztül terjesztik

Helga Smithszeptember 27, 2021Utolsó frissítés: szeptember 27, 2021
1 perc olvasás

Biztonsági kutatók beszélt a Jupyter kártevő új verziójáról, egy .NET programozási nyelven írt info-lopó, amelyről ismert támadó csak egészségügyi és oktatási szervezetek.

Az új fertőzési lánc, fedezték fel az információbiztonsági cég szakemberei Morphisec szeptemberében 8, 2021, nemcsak a rosszindulatú program folyamatos tevékenységét erősíti meg, hanem azt is demonstrálja “hogyan fejlesztik tovább a kiberbűnözők támadásaikat, hogy hatékonyabbá és megfoghatatlanabbá tegyék azokat.”

Először novemberben dokumentálták 2020, a Jupiter (más néven Solar marker) a rosszindulatú programot állítólag orosz fejlesztők hozták létre, és a Firefox adatainak ellopására tervezték, Chrome és Chromium alapú böngészők.

A Jupyter egy információlopó, amely elsősorban a Chromiumot célozza meg, Firefox, és a Chrome böngésző adatai. azonban, támadási láncát, szállítás, és a betöltő további képességeket mutat be a teljes hátsó ajtó funkcióhoz.A Morphisec kutatói írták.

Továbbá, a rosszindulatú program egy teljes értékű hátsó ajtó, és képes adatokat lopni és feltölteni egy távoli szerverre, hasznos teher feltöltése és végrehajtása. Morphisec szerint, május óta kezdtek megjelenni a Jupyter új verziói 2020.

A Jupyter fejlesztője folyamatosan módosítja és kiegészíti az eredeti Jupytert annak érdekében, hogy a lehető legtöbb információt összegyűjtse a kompromittált gépekről. Egyelőre nem világos, hogy mi a kampány végső célja, de elméletben, az ellopott adatok eladásra felhasználhatók, a hackerek pedig a kompromittált gépeket belépési pontként használhatják a vállalatok hálózatába további támadásokhoz.– írják a kutatók.

Augusztusban 2021, Cisco Talos A szakértők ennek tulajdonították a támadásokat “egy igazán magasan képzett támadó, elsősorban hitelesítő adatok és egyéb adatok ellopására irányul.”

Ez év februárjában, kiberbiztonsági cég CrowdStrike a kártevőt többlépcsős csomagként írta le, erősen homályos PowerShell betöltő, ami egy hátsó ajtó végrehajtásához vezet a .NET-en.

Bár a korábbi támadások olyan jól ismert szoftverek legitim fájljait használták, mint a Docx2Rtf és az Expert PDF, a nemrég felfedezett fertőzéslánc a Nitro Pro PDF alkalmazást kezdte használni.

A támadás egy MSI telepítő, aminek vége 100 MB méretű, lehetővé teszi a támadók számára, hogy megkerüljék a víruskereső megoldásokat. A telepítőt a harmadik féltől származó Advanced Installer alkalmazáscsomagoló segítségével homályosítja.

Miután az MSI elindult, a PowerShell letöltő egy legitim Nitro Pro-ba ágyazva fut le 13 fájlt, melynek két változata egy érvényes lengyelországi cég hiteles digitális tanúsítványával van aláírva. Végül, a betöltő dekódolja és futtatja a .NET Jupyter modult a memóriában.

Hadd emlékeztesselek arra, hogy arról is beszéltem A Swarez Trojan and Dropper álcája alatt terjesztve 15 Népszerű játékok.

Címke
Helga Smithszeptember 27, 2021Utolsó frissítés: szeptember 27, 2021
1 perc olvasás

Helga Smith

Mindig is érdekelt az informatika, különösen az adatbiztonság és a téma, amelyet manapság úgy hívnak "adattudomány", tizenéves kora óta. Mielőtt a Víruseltávolító csapathoz került volna főszerkesztőként, Több cégnél dolgoztam kiberbiztonsági szakértőként, köztük az Amazon egyik vállalkozója. Újabb élmény: Arden és Reading egyetemeken tanítok.

Válaszolj

Ez az oldal az Akismetet használja a spamek csökkentésére. Ismerje meg, hogyan dolgozzák fel megjegyzései adatait.

'Fel a tetejéhez' gomb