Den nya versionen av Jupyter -skadlig programvara distribueras via MSI -installationsprogrammet

Helga Smithseptember 27, 2021Senast uppdaterad: september 27, 2021
72 1 läst minut

Säkerhetsforskare pratade om en ny version av Jupyter -skadlig programvara, en info-stealer skriven på .NET programmeringsspråk som är känd för attackerar endast medicinska och utbildningsorganisationer.

Den nya infektionskedjan, upptäcktes av informationssäkerhetsföretagets specialister Morphisec i september 8, 2021, bekräftar inte bara den pågående aktiviteten för skadlig programvara, men också demonstrerar “hur cyberbrottslingar fortsätter att utveckla sina attacker för att göra dem mer effektiva och svårfångade.”

Först dokumenterad i november 2020, de Jupyter (också känd som Solmarkörer) skadlig programvara påstås ha skapats av ryska utvecklare och är utformad för att stjäla data från Firefox, Chrome- och krombaserade webbläsare.

Jupyter är en infostealer som främst riktar sig mot krom, Firefox, och Chrome -webbläsardata. dock, dess attackkedja, leverans, och lastare visar ytterligare funktioner för full bakdörrfunktion.Morphisec -forskare skrev.

För övrigt, skadlig programvara är en fullfjädrad bakdörr och kan stjäla data och ladda upp den till en fjärrserver, ladda upp och köra nyttolast. Enligt Morphisec, nya versioner av Jupyter har börjat dyka upp sedan maj 2020.

Jupyter -utvecklare modifierar och kompletterar ständigt den ursprungliga Jupyter i ett försök att samla in så mycket information som möjligt om de komprometterade maskinerna. Det är ännu inte klart vad det slutliga målet med denna kampanj är, men i teorin, stulna uppgifter kan användas till försäljning, och hackare kan använda komprometterade maskiner som ingångspunkter till företagens nätverk för ytterligare attacker.skriver forskarna.

I Augusti 2021, Cisco Talos experter tillskrev attackerna “en riktigt skicklig angripare, främst syftar till att stjäla referenser och annan data.”

I februari i år, cybersäkerhetsföretag CrowdStrike beskrev skadlig programvara som förpackad i flera steg, kraftigt förvirrad PowerShell -lastare, vilket leder till utförandet av en bakdörr på .NET.

Även om tidigare attacker använde legitima filer av välkänd programvara som Docx2Rtf och Expert PDF, den nyligen upptäckta kedjan av infektioner började använda Nitro Pro PDF -applikationen.

Attacken börjar med att distribuera en MSI installationsprogrammet som är över 100 MB i storlek, så att angripare kan kringgå antiviruslösningar. Installationsprogrammet är dolt med hjälp av tredjeparts Advanced Packer-paket.

När MSI har lanserats, en PowerShell -nedladdare körs inbäddad i ett legitimt Nitro Pro 13 fil, vars två versioner är signerade med autentiska digitala certifikat från ett giltigt företag i Polen. Till sist, lastaren avkodar och kör .NET Jupyter -modulen i minnet.

Låt mig påminna er om att jag också pratade om det faktum att Swarez Trojan och Dropper distribueras under förklädnad av 15 Populära spel.

Taggar
Helga Smithseptember 27, 2021Senast uppdaterad: september 27, 2021
72 1 läst minut

Helga Smith

Jag var alltid intresserad av datavetenskap, särskilt datasäkerhet och temat, som kallas nuförtiden "datavetenskap", sedan mina tidiga tonåringar. Innan du kommer in i Virusborttagningsteamet som chefredaktör, Jag arbetade som cybersäkerhetsexpert i flera företag, inklusive en av Amazons entreprenörer. En annan upplevelse: Jag har undervisning vid universitet i Arden och Reading.

Lämna ett svar

Denna webbplats använder Akismet att minska mängden skräppost. Lär dig hur din kommentar data bearbetas.

Tillbaka till toppen