De nieuwe versie van de Jupyter-malware wordt verspreid via het MSI-installatieprogramma

Helga Smithseptember 27, 2021Laatst bijgewerkt: september 27, 2021
72 1 minuut lezen

Beveiligingsonderzoekers gepraat over een nieuwe versie van de Jupyter-malware, een info-stealer geschreven in de .NET programmeertaal die bekend staat om aanvallend alleen medische en educatieve organisaties.

De nieuwe infectieketen, ontdekt door de specialisten van het informatiebeveiligingsbedrijf Morphisec in september 8, 2021, bevestigt niet alleen de voortdurende activiteit van de malware, maar demonstreert ook “hoe cybercriminelen hun aanvallen blijven ontwikkelen om ze effectiever en ongrijpbaarder te maken.”

Voor het eerst gedocumenteerd in november 2020, de Jupiter (ook gekend als Zonnemarkeringen) malware is naar verluidt gemaakt door Russische ontwikkelaars en is ontworpen om gegevens van Firefox te stelen, Chrome en Chromium-gebaseerde browsers.

Jupyter is een infostealer die zich voornamelijk richt op Chromium, Firefox, en Chrome-browsergegevens. Echter, zijn aanvalsketen, levering, en loader demonstreren extra mogelijkheden voor volledige backdoor-functionaliteit.Morphisec-onderzoekers schreven:.

In aanvulling op, de malware is een volwaardige achterdeur en kan gegevens stelen en uploaden naar een externe server, uploaden en uitvoeren van payload. volgens Morphisec, nieuwe versies van Jupyter verschijnen sinds mei 2020.

De Jupyter-ontwikkelaar is voortdurend bezig met het aanpassen en aanvullen van de originele Jupyter in een poging om zoveel mogelijk informatie over de aangetaste machines te verzamelen. Het is nog niet duidelijk wat het uiteindelijke doel van deze campagne is, maar in theorie, gestolen gegevens kunnen worden gebruikt voor verkoop, en hackers kunnen gecompromitteerde machines gebruiken als toegangspunten tot bedrijfsnetwerken voor verdere aanvallen.de onderzoekers schrijven.

in augustus 2021, Cisco Talos experts schreven de aanvallen toe aan: “een echt zeer bekwame aanvaller, voornamelijk gericht op het stelen van inloggegevens en andere gegevens.”

In februari van dit jaar, cyberbeveiligingsbedrijf CrowdStrike beschreef de malware als verpakt in een multi-stage, zwaar versluierde PowerShell-lader, wat leidt tot de uitvoering van een achterdeur op .NET.

Hoewel bij eerdere aanvallen gebruik werd gemaakt van legitieme bestanden van bekende software zoals Docx2Rtf en Expert PDF, de onlangs ontdekte reeks infecties begon de Nitro Pro PDF-toepassing te gebruiken.

De aanval begint met het inzetten van een MSI installatieprogramma dat voorbij is 100 MB groot, waardoor aanvallers antivirusoplossingen kunnen omzeilen. Het installatieprogramma wordt verdoezeld met behulp van de Advanced Installer-toepassingspacker van derden.

Zodra de MSI is gelanceerd, een PowerShell-downloader wordt uitgevoerd ingebed in een legitieme Nitro Pro 13 het dossier, waarvan de twee versies zijn ondertekend met authentieke digitale certificaten van een geldig bedrijf in Polen. Tenslotte, de lader decodeert en voert de .NET Jupyter-module uit in het geheugen.

Laat me je eraan herinneren dat ik het ook had over het feit dat Swarez Trojan en Dropper gedistribueerd onder de vermomming van 15 Populaire spellen.

Tags
Helga Smithseptember 27, 2021Laatst bijgewerkt: september 27, 2021
72 1 minuut lezen

Helga Smith

Ik was altijd al geïnteresseerd in informatica, vooral gegevensbeveiliging en het thema, die tegenwoordig heet "datawetenschap", sinds mijn vroege tienerjaren. Voordat je als hoofdredacteur bij het Virus Removal-team komt, Ik heb bij verschillende bedrijven als cybersecurity-expert gewerkt, waaronder een van Amazon's aannemers. Nog een ervaring: Ik heb les aan de universiteiten van Arden en Reading.

Laat een antwoord achter

Deze website maakt gebruik van Akismet om spam te verminderen. Leer hoe je reactie gegevens worden verwerkt.

Terug naar boven knop