Den nye versjonen av Jupyter -skadelig programvare distribueres gjennom MSI -installasjonsprogrammet

Helga Smithseptember 27, 2021Sist oppdatert: september 27, 2021
72 1 minutt lest

Sikkerhetsforskere snakket om en ny versjon av Jupyter -skadelig programvare, en info-stjeler skrevet på .NET programmeringsspråk som er kjent for angriper bare medisinske og pedagogiske organisasjoner.

Den nye smittekjeden, oppdaget av spesialistene i informasjonssikkerhetsselskapet Morphisec i september 8, 2021, bekrefter ikke bare den pågående aktiviteten til skadelig programvare, men demonstrerer også “hvordan nettkriminelle fortsetter å utvikle angrepene sine for å gjøre dem mer effektive og unnvikende.”

Først dokumentert i november 2020, de Jupyter (også kjent som Solmarkører) malware ble angivelig opprettet av russiske utviklere og er designet for å stjele data fra Firefox, Chrome og krombaserte nettlesere.

Jupyter er en infostealer som først og fremst er rettet mot krom, Firefox, og Chrome nettleserdata. derimot, angrepskjeden, leveranse, og lasteren demonstrerer flere muligheter for full bakdørsfunksjonalitet.Morphisec -forskere skrev.

I tillegg, skadelig programvare er en fullverdig bakdør og er i stand til å stjele data og laste dem opp til en ekstern server, laste opp og utføre nyttelast. I følge Morphisec, nye versjoner av Jupyter har begynt å vises siden mai 2020.

Jupyter -utvikleren modifiserer og kompletterer hele tiden den originale Jupyter i et forsøk på å samle så mye informasjon som mulig om de kompromitterte maskinene. Det er ennå ikke klart hva det endelige målet med denne kampanjen er, men i teorien, stjålne data kan brukes til salg, og hackere kan bruke kompromitterte maskiner som inngangspunkter til selskapenes nettverk for ytterligere angrep.skriver forskerne.

I august 2021, Cisco Talos eksperter tilskrev angrepene til “en virkelig dyktig angriper, hovedsakelig rettet mot å stjele legitimasjon og andre data.”

I februar i år, cybersikkerhetsfirma CrowdStrike beskrev skadelig programvare som pakket i flere trinn, kraftig skjult PowerShell -laster, som fører til utførelse av en bakdør på .NET.

Selv om tidligere angrep brukte legitime filer av velkjent programvare som Docx2Rtf og Expert PDF, den nylig oppdagede kjeden av infeksjoner begynte å bruke Nitro Pro PDF -applikasjonen.

Angrepet begynner med å distribuere en MSI installatør som er over 100 MB i størrelse, slik at angriperne kan omgå antivirusløsninger. Installasjonsprogrammet er skjult ved hjelp av tredjeparts Advanced Installer-programpakker.

Når MSI er lansert, en PowerShell -nedlaster kjøres innebygd i en legitim Nitro Pro 13 fil, de to versjonene er signert med autentiske digitale sertifikater fra et gyldig selskap i Polen. Endelig, lasteren dekoder og kjører .NET Jupyter -modulen i minnet.

La meg minne deg på at jeg også snakket om det faktum at Swarez Trojan og Dropper distribuert under forkledning av 15 Populære spill.

Merker
Helga Smithseptember 27, 2021Sist oppdatert: september 27, 2021
72 1 minutt lest

Helga Smith

Jeg var alltid interessert i datavitenskap, spesielt datasikkerhet og temaet, som kalles i våre dager "datavitenskap", siden min tidlige tenåring. Før du kommer inn i Virusfjerningsteamet som sjefredaktør, Jeg jobbet som cybersikkerhetsekspert i flere selskaper, inkludert en av Amazons entreprenører. Nok en opplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Legg igjen et svar

Denne siden bruker Akismet å redusere spam. Lær hvordan din kommentar data behandles.

Tilbake til toppen