La nuova versione del malware Jupyter è distribuita tramite il programma di installazione MSI

Helga Smithsettembre 27, 2021Ultimo aggiornamento: settembre 27, 2021
72 1 lettura minuto

Ricercatori di sicurezza parlato su una nuova versione del malware Jupyter, un ladro di informazioni scritto nel linguaggio di programmazione .NET noto per attaccando solo organizzazioni mediche ed educative.

La nuova catena del contagio, scoperto dagli specialisti della società di sicurezza delle informazioni Morphisec a settembre 8, 2021, non solo conferma l'attività in corso del malware, ma dimostra anche “come i criminali informatici continuano a sviluppare i loro attacchi per renderli più efficaci ed elusivi.”

Documentato per la prima volta a novembre 2020, il Giove (conosciuto anche come Marcatori solari) il malware è stato presumibilmente creato da sviluppatori russi ed è progettato per rubare dati da Firefox, Chrome e browser basati su Chromium.

Jupyter è un infostealer che prende di mira principalmente Chromium, Firefox, e dati del browser Chrome. però, la sua catena di attacco, consegna, e caricatore dimostrano capacità aggiuntive per la piena funzionalità della backdoor.I ricercatori Morphisec hanno scritto.

Inoltre, il malware è una backdoor a tutti gli effetti ed è in grado di rubare dati e caricarli su un server remoto, caricamento ed esecuzione del payload. Secondo Morphisec, nuove versioni di Jupyter hanno iniziato ad apparire da maggio 2020.

Lo sviluppatore Jupyter modifica e integra costantemente Jupyter originale nel tentativo di raccogliere quante più informazioni possibili sulle macchine compromesse. Non è ancora chiaro quale sia l'obiettivo finale di questa campagna, ma in teoria, i dati rubati possono essere usati per la vendita, e gli hacker possono utilizzare le macchine compromesse come punti di ingresso nelle reti delle aziende per ulteriori attacchi.scrivono i ricercatori.

in agosto 2021, Cisco Talos gli esperti hanno attribuito gli attacchi a “un attaccante veramente altamente qualificato, principalmente finalizzato al furto di credenziali e altri dati.”

A febbraio di quest'anno, società di sicurezza informatica sciopero della folla descritto il malware come confezionato in un multi-fase, caricatore PowerShell fortemente offuscato, che porta all'esecuzione di una backdoor su .NET.

Sebbene gli attacchi precedenti utilizzassero file legittimi di software noti come Docx2Rtf ed Expert PDF, la catena di infezioni recentemente scoperta ha iniziato a utilizzare l'applicazione Nitro Pro PDF.

L'attacco inizia schierando un MSI installatore che è finito 100 MB di dimensione, consentendo agli aggressori di aggirare le soluzioni antivirus. Il programma di installazione è offuscato utilizzando il pacchetto di applicazioni di installazione avanzata di terze parti.

Una volta avviato l'MSI, un downloader PowerShell viene eseguito incorporato in un legittimo Nitro Pro 13 file, le cui due versioni sono firmate con certificati digitali autentici di una società valida in Polonia. Finalmente, il caricatore decodifica ed esegue il modulo .NET Jupyter in memoria.

Vi ricordo che vi ho parlato anche del fatto che Swarez Trojan e Dropper distribuiti sotto mentite spoglie di 15 Giochi popolari.

tag
Helga Smithsettembre 27, 2021Ultimo aggiornamento: settembre 27, 2021
72 1 lettura minuto

Helga Smith

Sono sempre stato interessato all'informatica, in particolare la sicurezza dei dati e il tema, che si chiama oggi "scienza dei dati", dalla mia prima adolescenza. Prima di entrare nel team di rimozione virus come caporedattore, Ho lavorato come esperto di sicurezza informatica in diverse aziende, incluso uno degli appaltatori di Amazon. Un'altra esperienza: Ho l'insegnamento nelle università di Arden e Reading.

lascia un commento

Questo sito utilizza Akismet per ridurre lo spam. Scopri come il tuo commento dati vengono elaborati.

Pulsante Torna in alto