Sicherheitsforscher haben in jüngster Zeit eine Zunahme von Angriffen mit einer hochentwickelten neuen Variante von Jupyter festgestellt, einem Informationsdiebstahler, der es seit mindestens 2020 auf Benutzer von Chrome-, Edge- und Firefox-Browsern abgesehen hat.
Die Malware, die auch als Yellow Cockatoo, Solarmarker und Polazert bezeichnet wird, kann Maschinen durch Hintertüren öffnen und eine Vielzahl von Anmeldeinformationen sammeln, darunter Computernamen, Administratorrechte des Benutzers, Cookies, Webdaten, Informationen zum Browser-Passwort-Manager und andere vertrauliche Daten Opfersysteme – wie Logins für Krypto-Wallets und Fernzugriffs-Apps.
Eine anhaltende Cyber-Bedrohung, die Daten stiehlt
Forscher des VMware Carbon Black verwalteten kürzlich den Erkennungs- und Reaktionsdienst (MDR). habe die neue Version beobachtet der Malware nutzt PowerShell-Befehlsänderungen und legitim aussehende, digital signierte Payloads und infiziert seit Ende Oktober eine stetig steigende Zahl von Systemen.
„Die jüngsten Jupyter-Infektionen verwenden mehrere Zertifikate zum Signieren ihrer Malware, was wiederum dazu führen kann, dass der schädlichen Datei Vertrauen gewährt wird, was den ersten Zugriff auf den Computer des Opfers ermöglicht“, sagte VMware diese Woche in seinem Sicherheitsblog. „Diese Modifikationen scheinen die Ausweichfähigkeiten von [Jupyter] zu verbessern und es ihm zu ermöglichen, unauffällig zu bleiben.“
Morphisec und Blackberry – zwei andere Anbieter, die Jupyter zuvor verfolgt haben – haben festgestellt, dass die Malware als vollwertige Hintertür fungieren kann. Zu seinen Fähigkeiten zählen unter anderem die Unterstützung der Command-and-Control-Kommunikation (C2), die Funktion als Dropper und Loader für andere Malware, das Aushöhlen von Shell-Code, um einer Erkennung zu entgehen, und das Ausführen von PowerShell-Skripten und -Befehlen.
BlackBerry hat berichtet, dass Jupyter neben dem Zugriff auf OpenVPN, Remote Desktop Protocol und andere Fernzugriffsanwendungen auch auf Krypto-Wallets wie Ethereum Wallet, MyMonero Wallet und Atomic Wallet abzielt.
Die Betreiber der Schadsoftware haben verschiedene Techniken zur Verbreitung der Schadsoftware eingesetzt, darunter Suchmaschinenweiterleitungen auf schädliche Websites, Drive-by-Downloads, Phishing und SEO-Poisoning – oder die böswillige Manipulation von Suchmaschinenergebnissen zur Bereitstellung von Schadsoftware.
Jupyter: Malware-Erkennung umgehen
Bei den jüngsten Angriffen hat der Bedrohungsakteur hinter Jupyter gültige Zertifikate verwendet, um die Malware digital zu signieren, sodass sie für Malware-Erkennungstools als legitim erscheint. Die Namen der Dateien sollen Benutzer dazu verleiten, sie zu öffnen, mit Titeln wie „An-employers-guide-to-group-health-continuation.exe" und "How-To-Make-Edits-On-A-Word-Document-Permanent.exe".
VMware-Forscher beobachteten, wie die Malware mehrere Netzwerkverbindungen zu ihrem C2-Server herstellte, um die Infostealer-Payload zu entschlüsseln und in den Speicher zu laden, und zwar fast unmittelbar nach der Landung auf dem System des Opfers.
„Jupyter-Infektionen zielen auf Chrome-, Edge- und Firefox-Browser ab und nutzen SEO-Poisoning und Suchmaschinenweiterleitungen, um das Herunterladen bösartiger Dateien zu fördern, die den ersten Angriffsvektor in der Angriffskette darstellen“, heißt es in dem Bericht von VMware. „Die Malware hat Fähigkeiten zum Sammeln von Anmeldeinformationen und zur verschlüsselten C2-Kommunikation nachgewiesen, mit denen sensible Daten herausgefiltert werden.“
Eine besorgniserregende Zunahme von Infostealern
Nach Angaben des Anbieters gehört Jupyter zu den zehn häufigsten Infektionen, die VMware in den letzten Jahren in Client-Netzwerken festgestellt hat. Das steht im Einklang mit dem, was andere über a berichtet haben scharfer und besorgniserregender Anstieg im Einsatz von Infostealern nach der groß angelegten Umstellung auf Fernarbeit in vielen Organisationen nach Beginn der COVID-19-Pandemie.
Roter Kanarienvogelberichtete beispielsweise, dass Infostealer wie RedLine, Racoon und Vidar im Jahr 10 mehrfach in die Top-2022-Liste gelangten. Am häufigsten gelangte die Malware als gefälschte oder manipulierte Installationsdateien für legitime Software über böswillige Werbung oder durch SEO-Manipulation. Das Unternehmen stellte fest, dass Angreifer die Malware hauptsächlich dazu nutzten, um Anmeldeinformationen von Remote-Mitarbeitern zu sammeln, die einen schnellen, dauerhaften und privilegierten Zugriff auf Unternehmensnetzwerke und -systeme ermöglichten.
„Keine Branche ist immun gegen Stealer-Malware und die Verbreitung solcher Malware erfolgt oft opportunistisch, meist durch Werbung und SEO-Manipulation“, sagten die Forscher von Red Canary.
Uptycs berichtete a ähnlicher und besorgniserregender Anstieg im Infostealer-Vertrieb Anfang dieses Jahres. Daten, die das Unternehmen verfolgte, zeigten, dass sich die Zahl der Vorfälle, bei denen ein Angreifer einen Infostealer einsetzte, im ersten Quartal 2023 im Vergleich zum gleichen Zeitraum des Vorjahres mehr als verdoppelt hat. Der Sicherheitsanbieter stellte fest, dass Bedrohungsakteure die Malware nutzten, um Benutzernamen und Passwörter, Browserinformationen wie Profile und Informationen zum automatischen Ausfüllen, Kreditkarteninformationen, Krypto-Wallet-Informationen und Systeminformationen zu stehlen. Neuere Infostealer wie Rhadamanthys können laut Uptycs auch gezielt Protokolle von Multifaktor-Authentifizierungsanwendungen stehlen. Protokolle mit den gestohlenen Daten werden dann in kriminellen Foren verkauft, wo eine große Nachfrage danach besteht.
„Die Exfiltration gestohlener Daten hat eine gefährliche Auswirkungen auf Organisationen oder Einzelpersonen, da es im Dark Web leicht als erster Zugangspunkt für andere Bedrohungsakteure verkauft werden kann“, warnten Uptycs-Forscher.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant
- :hast
- :Ist
- :Wo
- 10
- 2020
- 2022
- 2023
- 7
- a
- Über Uns
- Zugang
- Zugriff
- Nach
- Schauspielkunst
- Akteure
- Zusatz
- Administrator
- Marketings
- Nach der
- erlauben
- Zulassen
- fast
- ebenfalls
- unter
- an
- und
- erscheint
- Anwendungen
- Apps
- SIND
- um
- angekommen
- AS
- At
- Attacke
- Anschläge
- Authentifizierung
- Hintertür-
- BE
- war
- begann
- hinter
- Schwarz
- Blog
- Browser
- Browsern
- Kampagnen (Campaign)
- CAN
- Fähigkeiten
- fähig
- Kohlenstoff
- Karte
- Zertifikate
- Kette
- Chrome
- Auftraggeber
- Code
- Kommunikation
- Kommunikation
- Unternehmen
- verglichen
- Computer
- über
- Verbindungen
- konsistent
- Smartgeräte App
- Cookies
- COVID-19
- COVID-19-Pandemie
- KREDENTIAL
- Referenzen
- Kredit
- Kreditkarte
- Kriminell
- Cyber-
- Gefährlich
- Dunkel
- Dunkle Web
- technische Daten
- Entschlüsseln
- Übergeben
- Demand
- Synergie
- Einsatz
- beschrieben
- entworfen
- Desktop
- erkannt
- Entdeckung
- digital
- verteilen
- Verteilung
- Verdoppelung
- Downloads
- Früher
- leicht
- Edge
- freigegeben
- ermutigen
- verschlüsselt
- Motor
- zu steigern,
- Unternehmen
- Astraleum
- Ethereum Brieftasche
- Ausweichen
- Ausführung
- Exfiltration
- Fälschung
- Reichen Sie das
- Mappen
- Firefox
- Vorname
- Folgende
- Aussichten für
- Foren
- gefunden
- häufig
- für
- vollwertig
- funktioniert
- sammeln
- bekommen
- erteilt
- Ernte
- Ernte
- Haben
- schwer
- HTML
- HTTPS
- identifiziert
- sofort
- Impact der HXNUMXO Observatorien
- in
- Einschließlich
- Erhöhung
- Einzelpersonen
- Energiegewinnung
- Infektionen
- Info
- Information
- Anfangs-
- Instanz
- in
- Beteiligung
- IT
- SEINE
- jpg
- Landung
- großflächig
- Nachname
- Letztes Jahr
- Spät
- am wenigsten
- legitim
- Nutzung
- Listen
- Belastung
- Ladeprogramm
- Maschine
- Maschinen
- gemacht
- hauptsächlich
- Making
- Malware
- Malware-Erkennung
- verwaltet
- Manager
- manipulieren
- Manipulation
- viele
- MDR
- Memory
- Änderungen
- mehr
- vor allem warme
- Multifaktor-Authentifizierung
- mehrere
- Name
- Namen
- Netzwerk
- Netzwerke
- Neu
- nicht
- Anzahl
- Oktober
- of
- vorgenommen,
- on
- Eröffnung
- Betreiber
- or
- Organisationen
- Andere
- Anders
- Pandemie
- Passwort
- Password Manager
- Passwörter
- Zeit
- Phishing
- Plato
- Datenintelligenz von Plato
- PlatoData
- Points
- Powershell
- vorher
- privilegiert
- Privilegien
- Profil
- Protokoll
- Bereitstellung
- Quartal
- Direkt
- Waschbär
- kürzlich
- kürzlich
- Rot
- bezeichnet
- bleiben
- entfernt
- Fernzugriff
- Remote work
- Fernarbeiter
- berichten
- Berichtet
- Forscher
- Antwort
- Die Ergebnisse
- Anstieg
- s
- Said
- gleich
- Skripte
- Suche
- Suchmaschine
- Sicherheitdienst
- scheinen
- empfindlich
- seo
- Server
- Schale
- verschieben
- zeigte
- Schild
- unterzeichnet
- da
- So
- Software
- verkauft
- anspruchsvoll
- speziell
- Verbreitung
- ständig
- gestohlen
- so
- Support
- System
- Systeme und Techniken
- Targeting
- Techniken
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- dann
- Dort.
- Diese
- vom Nutzer definierten
- fehlen uns die Worte.
- diese Woche
- dieses Jahr
- Bedrohung
- Bedrohungsakteure
- Durch
- mal
- Titel
- zu
- Werkzeuge
- Top
- Top 10
- beunruhigend
- Vertrauen
- versuchen
- WENDE
- XNUMX
- auf
- -
- benutzt
- Mitglied
- Nutzer
- Verwendung von
- gewöhnlich
- Nutzen
- gültig
- Variante
- Vielfalt
- Verkäufer
- Anbieter
- Opfer
- VMware
- Wallet
- Netz
- Webseiten
- Woche
- Was
- welche
- mit
- Arbeiten
- Arbeiter
- Jahr
- Jahr
- Zephyrnet
