Jupyter 惡意軟件的新版本通過 MSI 安裝程序分發

安全研究人員 談過 關於新版本的 Jupyter 惡意軟件, 用 .NET 編程語言編寫的信息竊取程序 攻擊 只有醫療和教育機構.

新的感染鏈, 由信息安全公司的專家發現 形態安全 在九月 8, 2021, 不僅確認惡意軟件的持續活動, 但也證明 “網絡犯罪分子如何繼續發展他們的攻擊,以使其更加有效和難以捉摸。”

11 月首次記錄 2020, 該 木星 (也稱為 太陽能標記) 惡意軟件據稱是由俄羅斯開發人員創建的,旨在從 Firefox 竊取數據, 基於 Chrome 和 Chromium 的瀏覽器.

Jupyter 是一個主要針對 Chromium 的信息竊取程序, 火狐, 和 Chrome 瀏覽器數據. 然而, 它的攻擊鏈, 送貨, 和加載程序展示了完整後門功能的附加功能.Morphisec 研究人員寫道.

此外, 該惡意軟件是一個成熟的後門程序,能夠竊取數據並將其上傳到遠程服務器, 上傳和執行有效載荷. 根據 Morphisec, 新版本的 Jupyter 從 5 月開始出現 2020.

Jupyter 開發人員不斷修改和補充原始 Jupyter 以努力收集有關受感染機器的盡可能多的信息. 目前尚不清楚此次活動的最終目標是什麼, 但理論上, 被盜數據可用於出售, 黑客可以使用受感染的機器作為進入公司網絡的入口點進行進一步攻擊.研究人員寫道.

在八月 2021, 思科塔洛斯 專家將襲擊歸咎於 “一個真正高技能的攻擊者, 主要目的是竊取憑據和其他數據。”

今年2月, 網絡安全公司 群眾罷工 將惡意軟件描述為多階段打包, 嚴重混淆的 PowerShell 加載程序, 這會導致在 .NET 上執行後門.

雖然之前的攻擊使用的是Docx2Rtf和Expert PDF等知名軟件的合法文件, 最近發現的感染鏈開始使用 Nitro Pro PDF 應用程序.

攻擊首先部署一個 微星 安裝程序結束 100 大小為 MB, 允許攻擊者繞過防病毒解決方案. 安裝程序使用第三方 Advanced Installer 應用程序打包程序進行混淆.

MSI啟動後, PowerShell 下載程序嵌入在合法的 Nitro Pro 中執行 13 文件, 兩個版本均使用波蘭有效公司的真實數字證書籤名. 最後, 加載器在內存中解碼並運行 .NET Jupyter 模塊.

讓我提醒你,我也談到了這樣一個事實 Swarez 木馬和 Dropper 偽裝成 15 熱門遊戲.

赫爾加·史密斯

我一直對計算機科學感興趣, 特別是數據安全和主題, 現在被稱為 "數據科學", 從我十幾歲起. 在加入病毒清除團隊擔任主編之前, 我曾在多家公司擔任網絡安全專家, 包括亞馬遜的一名承包商. 另一種體驗: 我在雅頓大學和雷丁大學任教.

發表評論

本網站使用的Akismet,以減少垃圾郵件. 了解您的意見如何處理數據.

返回頂部按鈕