Undvigende Jupyter Infostealer-kampagne viser farlig variant

Sikkerhedsforskere har set en nylig stigning i angreb, der involverer en sofistikeret ny variant af Jupyter, en informationstyver, der har været rettet mod brugere af Chrome, Edge og Firefox-browsere siden mindst 2020.

Malwaren, også omtalt som Yellow Cockatoo, Solarmarker og Polazert, kan bagdørsmaskiner og høste en række forskellige legitimationsoplysninger, herunder computernavn, brugerens administratorrettigheder, cookies, webdata, browseradgangskodeadministratoroplysninger og andre følsomme data fra offersystemer - såsom logins til krypto-wallets og fjernadgangsapps.

En vedvarende cybertrussel med datatyveri

Forskere fra VMwares Carbon Black administrerede detektion og svar (MDR) service for nylig observeret den nye version af malwaren, der udnytter PowerShell-kommandoændringer og legitimt udseende, digitalt signerede nyttelaster, der inficerer et støt stigende antal systemer siden slutningen af ​​oktober.

"De seneste Jupyter-infektioner bruger flere certifikater til at signere deres malware, som igen kan tillade tillid at blive givet til den ondsindede fil, hvilket giver første adgang til ofrets maskine," sagde VMware i sin sikkerhedsblog i denne uge. "Disse modifikationer ser ud til at forbedre [Jupyters] unddragelsesevner, hvilket gør det muligt at forblive upåfaldende."

Morphisec , BlackBerry - to andre leverandører, der tidligere har sporet Jupyter - har identificeret malwaren som i stand til at fungere som en fuldgyldig bagdør. De har beskrevet dets muligheder som at inkludere understøttelse af kommando og kontrol (C2) kommunikation, fungere som en dropper og indlæser for anden malware, udhule shell-kode for at undgå registrering og eksekvering af PowerShell-scripts og kommandoer.

BlackBerry har rapporteret, at Jupyter også målretter mod krypto-wallets, såsom Ethereum Wallet, MyMonero Wallet og Atomic Wallet, ud over at få adgang til OpenVPN, Remote Desktop Protocol og andre fjernadgangsapplikationer.

Operatørerne af malwaren har brugt en række forskellige teknikker til at distribuere malwaren, herunder søgemaskine-omdirigeringer til ondsindede websteder, drive-by-downloads, phishing og SEO-forgiftning - eller ondsindet manipulation af søgemaskineresultater til at levere malware.

Jupyter: Kom omkring Malware-detektion

I de seneste angreb har trusselsaktøren bag Jupyter brugt gyldige certifikater til digitalt at signere malwaren, så den ser ud til at være legitim for malwaredetektionsværktøjer. Filerne har navne designet til at forsøge at narre brugere til at åbne dem, med titler som "An-employers-guide-to-group-health-continuation.exe"Og"Sådan laver du-redigeringer-på-et-ord-dokument-permanent.exe".

VMware-forskere observerede, at malwaren lavede flere netværksforbindelser til sin C2-server for at dekryptere infostealerens nyttelast og indlæse den i hukommelsen, næsten umiddelbart efter landing på et offersystem.

"Målrettet mod Chrome-, Edge- og Firefox-browsere bruger Jupyter-infektioner SEO-forgiftning og søgemaskine-omdirigeringer til at tilskynde til ondsindede fildownloads, der er den indledende angrebsvektor i angrebskæden," ifølge VMwares rapport. "Malwaren har demonstreret indsamling af legitimationsoplysninger og krypterede C2-kommunikationsfunktioner, der bruges til at eksfiltrere følsomme data."

En bekymrende stigning i Infostealers

Jupyter er blandt de 10 mest hyppige infektioner, som VMware har opdaget på klientnetværk i de seneste år, ifølge leverandøren. Det stemmer overens med, hvad andre har rapporteret om en skarp og bekymrende stigning i brugen af ​​infotyvere efter det storstilede skift til fjernarbejde i mange organisationer efter COVID-19-pandemien begyndte.

Rød kanariefugl, for eksempel rapporterede, at infostealere som RedLine, Racoon og Vidar lavede sine top 10-lister flere gange i 2022. Oftest ankom malwaren som falske eller forgiftede installationsfiler til legitim software via ondsindede annoncer eller gennem SEO-manipulation. Virksomheden fandt, at angribere primært brugte malwaren til at forsøge at indsamle legitimationsoplysninger fra fjernmedarbejdere, der muliggjorde hurtig, vedvarende og privilegeret adgang til virksomhedens netværk og systemer.

"Ingen industri er immun over for stjælende malware, og spredningen af ​​sådan malware er ofte opportunistisk, normalt gennem annoncering og SEO-manipulation," sagde Red Canary-forskere.

Uptycs rapporterede en lignende og bekymrende stigning i infostealer distribution tidligere i år. Data, som virksomheden sporede, viste, at antallet af hændelser, hvor en angriber indsatte en infostealer, mere end fordobledes i første kvartal af 2023 sammenlignet med samme periode sidste år. Sikkerhedsleverandøren fandt trusselsaktører, der brugte malwaren til at stjæle brugernavne og adgangskoder, browseroplysninger såsom profiler og autofyldoplysninger, kreditkortoplysninger, krypto-wallet-oplysninger og systemoplysninger. Nyere infostealere såsom Rhadamanthys kan også specifikt stjæle logfiler fra multifaktorautentificeringsapplikationer, ifølge Uptycs. Logfiler, der indeholder de stjålne data, sælges derefter på kriminelle fora, hvor der er stor efterspørgsel efter det.

"Eksfiltrering af stjålne data har en farlig indvirkning på organisationer eller enkeltpersoner, da det nemt kan sælges på det mørke web som et indledende adgangspunkt for andre trusselsaktører,” advarede Uptycs-forskere.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant