Jupyter 恶意软件的新版本通过 MSI 安装程序分发
安全研究人员 谈过 关于新版本的 Jupyter 恶意软件, 用 .NET 编程语言编写的信息窃取程序 攻击 只有医疗和教育机构.
新的感染链, 由信息安全公司的专家发现 形态安全 在九月 8, 2021, 不仅确认恶意软件的持续活动, 但也证明 “网络犯罪分子如何继续发展他们的攻击,以使其更加有效和难以捉摸。”
11 月首次记录 2020, 该 木星 (也被称为 太阳能标记) 恶意软件据称是由俄罗斯开发人员创建的,旨在从 Firefox 窃取数据, 基于 Chrome 和 Chromium 的浏览器.
Jupyter 是一个主要针对 Chromium 的信息窃取程序, 火狐, 和 Chrome 浏览器数据. 然而, 它的攻击链, 送货, 和加载程序展示了完整后门功能的附加功能.Morphisec 研究人员写道.
此外, 该恶意软件是一个成熟的后门程序,能够窃取数据并将其上传到远程服务器, 上传和执行有效载荷. 根据 Morphisec, 新版本的 Jupyter 从 5 月开始出现 2020.
Jupyter 开发人员不断修改和补充原始 Jupyter 以努力收集有关受感染机器的尽可能多的信息. 目前尚不清楚此次活动的最终目标是什么, 但理论上, 被盗数据可用于出售, 黑客可以使用受感染的机器作为进入公司网络的入口点进行进一步攻击.研究人员写道.
在八月 2021, 思科塔洛斯 专家将袭击归咎于 “一个真正高技能的攻击者, 主要目的是窃取凭据和其他数据。”
今年2月, 网络安全公司 群众罢工 将恶意软件描述为多阶段打包, 严重混淆的 PowerShell 加载程序, 这会导致在 .NET 上执行后门.
虽然之前的攻击使用的是Docx2Rtf和Expert PDF等知名软件的合法文件, 最近发现的感染链开始使用 Nitro Pro PDF 应用程序.
攻击首先部署一个 微星 安装程序结束 100 大小为 MB, 允许攻击者绕过防病毒解决方案. 安装程序使用第三方 Advanced Installer 应用程序打包程序进行混淆.
MSI启动后, PowerShell 下载程序嵌入在合法的 Nitro Pro 中执行 13 文件, 两个版本均使用波兰有效公司的真实数字证书签名. 最后, 加载器在内存中解码并运行 .NET Jupyter 模块.
让我提醒你,我也谈到了这样一个事实 Swarez 木马和 Dropper 伪装成 15 热门游戏.
