Nowa wersja szkodliwego oprogramowania Jupyter jest rozpowszechniana za pośrednictwem instalatora MSI

Helga Smithwrzesień 27, 2021Ostatnio zaktualizowany: wrzesień 27, 2021
72 1 minuta przeczytania

Badacze bezpieczeństwa rozmawiałem o nowej wersji złośliwego oprogramowania Jupyter, złodziej informacji napisany w języku programowania .NET, który jest znany z napadający tylko organizacje medyczne i edukacyjne.

Nowy łańcuch infekcji, odkryty przez specjalistów z firmy zajmującej się bezpieczeństwem informacji Morphisec we wrześniu 8, 2021, nie tylko potwierdza ciągłą aktywność złośliwego oprogramowania, ale też demonstruje “jak cyberprzestępcy nadal rozwijają swoje ataki, aby były bardziej skuteczne i nieuchwytne.”

Pierwsze udokumentowane w listopadzie 2020, ten Jupyter (znany również jako Markery słoneczne) malware zostało rzekomo stworzone przez rosyjskich programistów i ma na celu kradzież danych z Firefoksa, Przeglądarki Chrome i oparte na Chromium.

Jupyter to złodziej informacji, którego celem jest głównie Chromium, Firefox, i dane przeglądarki Chrome. jednak, jego łańcuch ataków, Dostawa, i loader demonstrują dodatkowe możliwości dla pełnej funkcjonalności backdoora.Badacze Morphisec napisali.

Dodatkowo, złośliwe oprogramowanie jest pełnoprawnym backdoorem, który potrafi kraść dane i przesyłać je na zdalny serwer, wgrywanie i wykonywanie ładunku. Według Morphisec, od maja zaczęły pojawiać się nowe wersje Jupytera 2020.

Deweloper Jupytera stale modyfikuje i uzupełnia oryginalnego Jupytera, starając się zebrać jak najwięcej informacji o zhakowanych maszynach. Nie jest jeszcze jasne, jaki jest ostateczny cel tej kampanii, ale w teorii, skradzione dane można wykorzystać do sprzedaży, a hakerzy mogą wykorzystywać zhakowane maszyny jako punkty wejścia do sieci firm w celu dalszych ataków.naukowcy piszą.

w sierpniu 2021, Cisco Talos eksperci przypisali ataki do “naprawdę wysoko wykwalifikowany napastnik, głównie na celu kradzież danych uwierzytelniających i innych danych.”

W lutym tego roku, firma zajmująca się cyberbezpieczeństwem CrowdStrike opisał złośliwe oprogramowanie jako pakiet wieloetapowy, mocno zaciemniony program ładujący PowerShell, co prowadzi do wykonania backdoora na .NET.

Chociaż poprzednie ataki wykorzystywały legalne pliki znanego oprogramowania, takiego jak Docx2Rtf i Expert PDF, niedawno odkryty łańcuch infekcji zaczął używać aplikacji Nitro Pro PDF.

Atak rozpoczyna się od rozmieszczenia MSI instalator, który się skończył 100 MB w rozmiarze, umożliwienie atakującym ominięcie rozwiązań antywirusowych. Instalator jest zaciemniany za pomocą zewnętrznego programu do pakowania aplikacji Advanced Installer.

Po uruchomieniu MSI, program do pobierania PowerShell jest uruchamiany jako osadzony w legalnym Nitro Pro 13 plik, których dwie wersje są podpisane autentycznymi certyfikatami cyfrowymi ważnej firmy w Polsce. Wreszcie, moduł ładujący dekoduje i uruchamia w pamięci moduł .NET Jupyter.

Przypomnę, że mówiłem też o tym, że Trojan i dropper Swarez dystrybuowane pod przebraniem 15 Popularne gry.

Tagi
Helga Smithwrzesień 27, 2021Ostatnio zaktualizowany: wrzesień 27, 2021
72 1 minuta przeczytania

Helga Smith

Zawsze interesowałem się informatyką, zwłaszcza bezpieczeństwo danych i motyw, który nazywa się obecnie "nauka o danych", od moich wczesnych lat nastoletnich. Przed dołączeniem do zespołu usuwania wirusów jako redaktor naczelny, Pracowałem jako ekspert ds. cyberbezpieczeństwa w kilku firmach, w tym jeden z kontrahentów Amazona. Kolejne doświadczenie: Uczę na uniwersytetach Arden i Reading.

Zostaw odpowiedź

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

Przycisk Powrót do góry