A nova versão do malware Jupyter é distribuída através do instalador MSI

Helga Smithsetembro 27, 2021Última Actualização setembro 27, 2021
72 lido 1 minuto

Pesquisadores de segurança falou sobre uma nova versão do malware Jupyter, um ladrão de informações escrito na linguagem de programação .NET conhecida por atacante apenas organizações médicas e educacionais.

A nova cadeia de infecção, descoberto pelos especialistas da empresa de segurança da informação Morphisec Em setembro 8, 2021, não apenas confirma a atividade contínua do malware, mas também demonstra “como os cibercriminosos continuam a desenvolver seus ataques para torná-los mais eficazes e evasivos.”

Documentado pela primeira vez em novembro 2020, a Jupyter (também conhecido como Marcadores solares) malware foi supostamente criado por desenvolvedores russos e projetado para roubar dados do Firefox, Navegadores baseados em Chrome e Chromium.

Jupyter é um infostealer que tem como alvo principal o Chromium, Raposa de fogo, e dados do navegador Chrome. Contudo, sua cadeia de ataque, Entrega, e o carregador demonstram recursos adicionais para funcionalidade backdoor completa.Pesquisadores da Morphisec escreveram.

além do que, além do mais, o malware é um backdoor completo e é capaz de roubar dados e enviá-los a um servidor remoto, upload e execução de carga útil. De acordo com Morphisec, novas versões do Jupyter começaram a aparecer desde maio 2020.

O desenvolvedor do Jupyter está constantemente modificando e complementando o Jupyter original em um esforço para coletar o máximo de informações possível sobre as máquinas comprometidas. Ainda não está claro qual é o objetivo final desta campanha, mas em teoria, dados roubados podem ser usados ​​para venda, e os hackers podem usar máquinas comprometidas como pontos de entrada nas redes das empresas para novos ataques.os pesquisadores escrevem.

em agosto 2021, Cisco Talos especialistas atribuíram os ataques a “um atacante verdadeiramente altamente qualificado, principalmente com o objetivo de roubar credenciais e outros dados.”

Em fevereiro deste ano, empresa de cibersegurança CrowdStrike descreveu o malware como empacotado em uma, Carregador PowerShell fortemente ofuscado, que leva à execução de um backdoor no .NET.

Embora os ataques anteriores usassem arquivos legítimos de softwares conhecidos, como Docx2Rtf e Expert PDF, a cadeia de infecções recentemente descoberta começou a usar o aplicativo Nitro Pro PDF.

O ataque começa com a implantação de um MSI instalador que acabou 100 MB de tamanho, permitindo que os invasores ignorem as soluções antivírus. O instalador é ofuscado usando o empacotador de aplicativos do Instalador Avançado de terceiros.

Assim que o MSI for lançado, um downloader do PowerShell é executado incorporado em um Nitro Pro legítimo 13 Arquivo, as duas versões são assinadas com certificados digitais autênticos de uma empresa válida na Polônia. Finalmente, o carregador decodifica e executa o módulo .NET Jupyter na memória.

Deixe-me lembrá-lo de que também falei sobre o fato de Trojan e Dropper Swarez distribuídos sob o disfarce de 15 Jogos populares.

Tag
Helga Smithsetembro 27, 2021Última Actualização setembro 27, 2021
72 lido 1 minuto

Helga Smith

Sempre me interessei por ciências da computação, especialmente segurança de dados e o tema, que é chamado hoje em dia "ciência de dados", desde minha adolescência. Antes de entrar na equipe de remoção de vírus como editor-chefe, Trabalhei como especialista em segurança cibernética em várias empresas, incluindo um dos contratados da Amazon. Outra experiencia: Eu tenho é professor nas universidades Arden e Reading.

Deixe uma resposta

Este site usa Akismet para reduzir o spam. Saiba como seus dados comentário é processado.

Botão Voltar ao Topo