Η καμπάνια Evasive Jupyter Infostealer παρουσιάζει επικίνδυνη παραλλαγή

Οι ερευνητές ασφαλείας εντόπισαν μια πρόσφατη αύξηση των επιθέσεων που περιλαμβάνουν μια εξελιγμένη νέα παραλλαγή του Jupyter, ενός κλέφτη πληροφοριών που στοχεύει χρήστες των προγραμμάτων περιήγησης Chrome, Edge και Firefox τουλάχιστον από το 2020.

Το κακόβουλο λογισμικό, το οποίο αναφέρεται επίσης ως Yellow Cockatoo, Solarmarker και Polazert, μπορεί να παραθέσει μηχανές και να συλλέξει μια ποικιλία πληροφοριών διαπιστευτηρίων, όπως το όνομα υπολογιστή, τα δικαιώματα διαχειριστή του χρήστη, τα cookies, τα δεδομένα Ιστού, οι πληροφορίες διαχείρισης κωδικών πρόσβασης του προγράμματος περιήγησης και άλλα ευαίσθητα δεδομένα από συστήματα θυμάτων — όπως συνδέσεις για κρυπτογραφικά πορτοφόλια και εφαρμογές απομακρυσμένης πρόσβασης.

Μια επίμονη απειλή για την κλοπή δεδομένων στον κυβερνοχώρο

Ερευνητές από την υπηρεσία διαχείρισης ανίχνευσης και απόκρισης (MDR) της VMware Carbon Black πρόσφατα παρατήρησε τη νέα έκδοση του κακόβουλου λογισμικού που αξιοποιεί τροποποιήσεις εντολών PowerShell και ωφέλιμα φορτία με νόμιμη εμφάνιση, ψηφιακά υπογεγραμμένα, μολύνοντας έναν σταθερά αυξανόμενο αριθμό συστημάτων από τα τέλη Οκτωβρίου.

«Οι πρόσφατες μολύνσεις του Jupyter χρησιμοποιούν πολλαπλά πιστοποιητικά για να υπογράψουν το κακόβουλο λογισμικό τους, το οποίο, με τη σειρά του, μπορεί να επιτρέψει την παροχή εμπιστοσύνης στο κακόβουλο αρχείο, παρέχοντας αρχική πρόσβαση στον υπολογιστή του θύματος», δήλωσε η VMware στο ιστολόγιο ασφαλείας της αυτή την εβδομάδα. «Αυτές οι τροποποιήσεις φαίνεται να ενισχύουν τις δυνατότητες διαφυγής [του Δία], επιτρέποντάς του να παραμένει δυσδιάκριτη».

Μορφισέ και BlackBerry — δύο άλλοι προμηθευτές που είχαν παρακολουθήσει προηγουμένως το Jupyter — έχουν αναγνωρίσει το κακόβουλο λογισμικό ως ικανό να λειτουργεί ως πλήρης κερκόπορτα. Περιέγραψαν τις δυνατότητές του ως υποστήριξη για επικοινωνίες εντολών και ελέγχου (C2), ενεργώντας ως dropper και loader για άλλα κακόβουλα προγράμματα, κούφωμα κώδικα κελύφους για αποφυγή εντοπισμού και εκτέλεση σεναρίων και εντολών PowerShell.

Η BlackBerry ανέφερε ότι παρατήρησε ότι ο Jupyter στοχεύει επίσης κρυπτοπορτοφόλια, όπως το Ethereum Wallet, το MyMonero Wallet και το Atomic Wallet, εκτός από την πρόσβαση στο OpenVPN, το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας και άλλες εφαρμογές απομακρυσμένης πρόσβασης.

Οι χειριστές του κακόβουλου λογισμικού έχουν χρησιμοποιήσει μια ποικιλία τεχνικών για τη διανομή του κακόβουλου λογισμικού, συμπεριλαμβανομένων ανακατευθύνσεων μηχανών αναζήτησης σε κακόβουλους ιστότοπους, λήψεις κατά τη διάρκεια λήψης, phishing και δηλητηρίαση SEO — ή κακόβουλη χειραγώγηση των αποτελεσμάτων των μηχανών αναζήτησης για την παράδοση κακόβουλου λογισμικού.

Jupyter: Getting Around Malware Detection

Στις πιο πρόσφατες επιθέσεις, ο παράγοντας απειλής πίσω από το Jupyter χρησιμοποιεί έγκυρα πιστοποιητικά για να υπογράψει ψηφιακά το κακόβουλο λογισμικό, έτσι ώστε να φαίνεται νόμιμο για τα εργαλεία ανίχνευσης κακόβουλου λογισμικού. Τα αρχεία έχουν ονόματα σχεδιασμένα για να προσπαθήσουν να εξαπατήσουν τους χρήστες να τα ανοίξουν, με τίτλους όπως "An-employers-guide-to-group-health-continuation.exe"Και"How-To-Make-Edits-On-A-Word-Document-Permanent.exe".

Οι ερευνητές του VMware παρατήρησαν το κακόβουλο λογισμικό να πραγματοποιεί πολλαπλές συνδέσεις δικτύου στον διακομιστή του C2 για να αποκρυπτογραφήσει το ωφέλιμο φορτίο του infostealer και να το φορτώσει στη μνήμη, σχεδόν αμέσως μόλις προσγειωθεί σε ένα σύστημα θύματος.

«Στοχεύοντας τα προγράμματα περιήγησης Chrome, Edge και Firefox, οι μολύνσεις του Jupyter χρησιμοποιούν δηλητηρίαση SEO και ανακατευθύνσεις μηχανών αναζήτησης για να ενθαρρύνουν τη λήψη κακόβουλων αρχείων που αποτελούν τον αρχικό φορέα επίθεσης στην αλυσίδα επίθεσης», σύμφωνα με την έκθεση της VMware. "Το κακόβουλο λογισμικό έχει επιδείξει συλλογή διαπιστευτηρίων και κρυπτογραφημένες δυνατότητες επικοινωνίας C2 που χρησιμοποιούνται για την εξαγωγή ευαίσθητων δεδομένων."

Μια ανησυχητική αύξηση στους Infostealers

Το Jupyter συγκαταλέγεται στις 10 πιο συχνές μολύνσεις που έχει εντοπίσει η VMware σε δίκτυα πελατών τα τελευταία χρόνια, σύμφωνα με τον προμηθευτή. Αυτό είναι συνεπές με αυτό που έχουν αναφέρει άλλοι για το α απότομη και ανησυχητική άνοδος στη χρήση πληροφοριοκλοπών μετά τη στροφή μεγάλης κλίμακας στην εξ αποστάσεως εργασία σε πολλούς οργανισμούς μετά την έναρξη της πανδημίας COVID-19.

Κόκκινο ΚανάριοΓια παράδειγμα, ανέφερε ότι κλέφτες πληροφοριών όπως οι RedLine, Racoon και Vidar έκαναν πολλές φορές τις 10 λίστες του το 2022. Τις περισσότερες φορές, το κακόβουλο λογισμικό έφτασε ως πλαστά ή δηλητηριασμένα αρχεία εγκατάστασης για νόμιμο λογισμικό μέσω κακόβουλων διαφημίσεων ή μέσω χειραγώγησης SEO. Η εταιρεία βρήκε εισβολείς που χρησιμοποιούσαν το κακόβουλο λογισμικό κυρίως για να προσπαθήσουν να συγκεντρώσουν διαπιστευτήρια από απομακρυσμένους εργαζόμενους που επέτρεψαν γρήγορη, επίμονη και προνομιακή πρόσβαση σε εταιρικά δίκτυα και συστήματα.

«Κανένας κλάδος δεν έχει ανοσία σε κακόβουλο λογισμικό κλοπής και η εξάπλωση τέτοιου κακόβουλου λογισμικού είναι συχνά ευκαιριακή, συνήθως μέσω διαφήμισης και χειραγώγησης SEO», δήλωσαν ερευνητές του Red Canary.

Οι Uptycs ανέφεραν α παρόμοια και ανησυχητική αύξηση σε διανομή infostealer νωρίτερα φέτος. Τα δεδομένα που παρακολούθησε η εταιρεία έδειξαν ότι ο αριθμός των περιστατικών στα οποία ένας εισβολέας ανέπτυξε έναν κλοπή πληροφοριών υπερδιπλασιάστηκε το πρώτο τρίμηνο του 2023, σε σύγκριση με την ίδια περίοδο πέρυσι. Ο προμηθευτής ασφαλείας βρήκε παράγοντες απειλών που χρησιμοποιούν το κακόβουλο λογισμικό για να κλέψουν ονόματα χρήστη και κωδικούς πρόσβασης, πληροφορίες προγράμματος περιήγησης, όπως προφίλ και πληροφορίες αυτόματης συμπλήρωσης, πληροφορίες πιστωτικής κάρτας, πληροφορίες κρυπτογραφικού πορτοφολιού και πληροφορίες συστήματος. Οι νεότεροι infostealers όπως το Rhadamanthys μπορούν επίσης να κλέψουν ειδικά αρχεία καταγραφής από εφαρμογές ελέγχου ταυτότητας πολλαπλών παραγόντων, σύμφωνα με το Uptycs. Τα αρχεία καταγραφής που περιέχουν τα κλεμμένα δεδομένα πωλούνται στη συνέχεια σε εγκληματικά φόρουμ, όπου υπάρχει μεγάλη ζήτηση για αυτά.

«Η διήθηση κλεμμένων δεδομένων έχει α επικίνδυνες επιπτώσεις στους οργανισμούς ή μεμονωμένα άτομα, καθώς μπορεί εύκολα να πωληθεί στον σκοτεινό ιστό ως αρχικό σημείο πρόσβασης για άλλους παράγοντες απειλών», προειδοποίησαν οι ερευνητές της Uptycs.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant