Jupyter kötü amaçlı yazılımının yeni sürümü, MSI yükleyicisi aracılığıyla dağıtılır

Helga SmithEylül 27, 2021Son güncelleme: Eylül 27, 2021
72 1 dakika okuma süresi

Güvenlik araştırmacıları konuştu Jupyter kötü amaçlı yazılımının yeni bir sürümü hakkında, bilinen .NET programlama dilinde yazılmış bir bilgi hırsızı saldıran sadece tıbbi ve eğitim kurumları.

Yeni enfeksiyon zinciri, bilgi güvenliği şirketinin uzmanları tarafından keşfedildi Morfisek Eylül'de 8, 2021, yalnızca kötü amaçlı yazılımın devam eden etkinliğini doğrulamakla kalmaz, ama aynı zamanda gösterir “siber suçlular, saldırılarını daha etkili ve yakalanması zor hale getirmek için nasıl geliştirmeye devam ediyor?”

İlk olarak Kasım ayında belgelendi 2020, NS Jüpiter (Ayrıca şöyle bilinir Güneş işaretleri) kötü amaçlı yazılım iddiaya göre Rus geliştiriciler tarafından oluşturuldu ve Firefox'tan veri çalmak için tasarlandı, Chrome ve Chromium tabanlı tarayıcılar.

Jupyter, öncelikle Chromium'u hedefleyen bir bilgi hırsızıdır., Firefox, ve Chrome tarayıcı verileri. ancak, onun saldırı zinciri, teslimat, ve yükleyici, tam arka kapı işlevselliği için ek yetenekler gösterir.Morphisec araştırmacıları yazdı.

Ek olarak, kötü amaçlı yazılım tam teşekküllü bir arka kapıdır ve verileri çalabilir ve uzak bir sunucuya yükleyebilir, yük yükleme ve yürütme. Morphisec'e göre, Jupyter'in yeni sürümleri Mayıs ayından bu yana görünmeye başladı 2020.

Jupyter geliştiricisi, güvenliği ihlal edilmiş makineler hakkında mümkün olduğunca fazla bilgi toplamak için orijinal Jupyter'ı sürekli olarak değiştiriyor ve destekliyor.. Bu kampanyanın nihai amacının ne olduğu henüz belli değil., ama teoride, çalınan veriler satış için kullanılabilir, ve bilgisayar korsanları, güvenliği ihlal edilmiş makineleri daha fazla saldırı için şirketlerin ağlarına giriş noktası olarak kullanabilir.araştırmacılar yazıyor.

Ağustosda 2021, Cisco Talos'u uzmanlar saldırıları “gerçekten çok yetenekli bir saldırgan, öncelikle kimlik bilgilerini ve diğer verileri çalmayı amaçlıyor.”

Bu yılın Şubat ayında, siber güvenlik şirketi CrowdStrike kötü amaçlı yazılımı çok aşamalı bir pakette paketlenmiş olarak tanımladı, yoğun şekilde gizlenmiş PowerShell yükleyici, bu da .NET'te bir arka kapının yürütülmesine yol açar..

Daha önceki saldırılar, Docx2Rtf ve Expert PDF gibi iyi bilinen yazılımların meşru dosyalarını kullansa da, yeni keşfedilen enfeksiyon zinciri Nitro Pro PDF uygulamasını kullanmaya başladı.

Saldırı, bir MSI bitmiş yükleyici 100 MB boyutunda, saldırganların anti-virüs çözümlerini atlamasına izin vermek. Yükleyici, üçüncü taraf Gelişmiş Yükleyici uygulama paketleyicisi kullanılarak gizleniyor.

MSI başlatıldığında, bir PowerShell indiricisi meşru bir Nitro Pro'ya gömülü olarak yürütülür 13 dosya, Polonya'da geçerli bir şirketten alınan orijinal dijital sertifikalarla imzalanmış iki versiyonu. En sonunda, yükleyici, bellekte .NET Jupyter modülünün kodunu çözer ve çalıştırır.

Şu gerçeği de konuştuğumu hatırlatmama izin verin. Swarez Truva Atı ve Damlalık Kisvesi Altında Dağıtıldı 15 Popüler Oyunlar.

Etiketler
Helga SmithEylül 27, 2021Son güncelleme: Eylül 27, 2021
72 1 dakika okuma süresi

Helga Smith

Bilgisayar bilimlerine her zaman ilgi duymuşumdur., özellikle veri güvenliği ve tema, günümüzde denilen "veri bilimi", ilk gençlik yıllarımdan beri. Baş Editör olarak Virüs Temizleme ekibine gelmeden önce, Birkaç şirkette siber güvenlik uzmanı olarak çalıştım, Amazon'un yüklenicilerinden biri dahil. Başka bir deneyim: Arden ve Reading üniversitelerinde öğretmenlik var.

Cevap bırakın

Bu site spam azaltmak için Akismet kullanır. Yorumunuz verileri işlenirken öğrenin.

Başa dön tuşu