Vältimatu Jupyteri infostealeri kampaania tutvustab ohtlikke variante

Turvateadlased on märganud hiljutist sagenemist rünnete hulgas, mis on seotud Jupyteri keeruka uue variandiga, teabevarastajaga, mis on vähemalt 2020. aastast sihikule võtnud Chrome'i, Edge'i ja Firefoxi brauserite kasutajaid.

Pahavara, mida nimetatakse ka Yellow Cockatoo, Solarmarker ja Polazert, suudab tagaukse masinaid ja koguda mitmesuguseid mandaaditeavet, sealhulgas arvuti nime, kasutaja administraatoriõigusi, küpsiseid, veebiandmeid, brauseri paroolihalduri teavet ja muid tundlikke andmeid ohvrisüsteemid – näiteks krüptorahakottide ja kaugjuurdepääsurakenduste sisselogimised.

Püsiv andmete varastamise küberoht

Hiljuti haldasid VMware'i süsinikmusta tuvastus- ja reageerimisteenuse (MDR) teadlased jälgis uut versiooni pahavara, mis kasutab PowerShelli käskude modifikatsioone ja seadusliku välimusega digitaalselt allkirjastatud kasulikke koormusi, nakatades alates oktoobri lõpust pidevalt kasvavat arvu süsteeme.

"Hiljutised Jupyteri nakkused kasutavad oma pahavara allkirjastamiseks mitut sertifikaati, mis omakorda võib võimaldada pahatahtlikule failile usaldust anda, tagades esmase juurdepääsu ohvri masinale," ütles VMware sel nädalal oma turvablogis. "Need modifikatsioonid näivad suurendavat [Jupyteri] kõrvalehoidmisvõimet, võimaldades sellel jääda silmapaistmatuks."

Morphisec ja BlackBerry - kaks teist müüjat, kes on varem Jupyterit jälginud - on tuvastanud, et pahavara on võimeline toimima täieõigusliku tagauksena. Nad on kirjeldanud selle võimalusi, sealhulgas käskude ja juhtimise (C2) side tugi, muu pahavara tilguti ja laadijana toimimine, kestakoodi õõnestamine tuvastamisest kõrvalehoidmiseks ning PowerShelli skriptide ja käskude täitmine.

BlackBerry on teatanud, et Jupyter sihib lisaks OpenVPN-ile, Remote Desktop Protocolile ja teistele kaugjuurdepääsu rakendustele ka krüptorahakotte, nagu Ethereum Wallet, MyMonero Wallet ja Atomic Wallet.

Pahavara operaatorid on pahavara levitamiseks kasutanud mitmesuguseid tehnikaid, sealhulgas otsingumootorite ümbersuunamisi pahatahtlikele veebisaitidele, allalaadimisi, andmepüüki ja SEO-mürgitust – või pahavara edastamiseks otsingumootori tulemuste pahatahtlikku manipuleerimist.

Jupyter: ründevara tuvastamises liikumine

Viimaste rünnakute puhul on Jupyteri taga olev ohutegija kasutanud pahavara digitaalseks allkirjastamiseks kehtivaid sertifikaate, nii et see näib pahavara tuvastamise tööriistadele legitiimne. Failidel on nimed, mille eesmärk on püüda kasutajaid neid avama meelitada, pealkirjadega nagu "An-employers-guide-to-group-health-continuation.exe"Ja"Kuidas-To-Make-Edits-On-A-Word-Document-Permanent.exe".

VMware teadlased jälgisid, et pahavara loob mitu võrguühendust oma C2-serveriga, et dekrüpteerida infovarastav koormus ja laadida see mällu peaaegu kohe pärast ohvrisüsteemi maandumist.

"Chrome'i, Edge'i ja Firefoxi brauseritele sihitud Jupyteri infektsioonid kasutavad SEO-mürgitust ja otsingumootori ümbersuunamisi, et julgustada pahatahtlike failide allalaadimist, mis on rünnakuahela esialgne rünnakute vektor," seisab VMware'i aruandes. "Pahavara on näidanud mandaatide kogumist ja krüpteeritud C2 sidevõimalusi, mida kasutatakse tundlike andmete väljafiltreerimiseks."

Infostealerite murettekitav kasv

Jupyter on müüja sõnul kümne kõige sagedasema nakkuse hulgas, mille VMware on viimastel aastatel kliendivõrkudes tuvastanud. See on kooskõlas sellega, mida teised on a kohta teatanud terav ja murettekitav tõus infovarastajate kasutamisel pärast ulatuslikku üleminekut kaugtööle paljudes organisatsioonides pärast COVID-19 pandeemia algust.

Punane KanaariNäiteks teatas, et infovarastajad nagu RedLine, Racoon ja Vidar jõudsid 10. aastal mitu korda selle esikümnesse. Enamasti saabus pahavara võltsitud või mürgitatud installifailidena legitiimse tarkvara jaoks pahatahtlike reklaamide või SEO abil manipuleerimise teel. Ettevõte leidis ründajaid, kes kasutasid pahavara peamiselt selleks, et püüda koguda kaugtöötajatelt mandaate, mis võimaldasid kiiret, püsivat ja privilegeeritud juurdepääsu ettevõtte võrkudele ja süsteemidele.

"Ükski tööstusharu ei ole varastatud pahavara eest immuunne ja sellise pahavara levik on sageli oportunistlik, tavaliselt reklaami ja SEO manipuleerimise kaudu," ütlesid Red Canary teadlased.

Uptycs teatas a sarnane ja murettekitav tõus infostealeri levitamises selle aasta alguses. Ettevõtte jälgitud andmed näitavad, et 2023. aasta esimeses kvartalis suurenes XNUMX. aasta esimeses kvartalis enam kui kahekordistunud intsidentide arv, mille puhul ründaja kasutas infovarast, võrreldes eelmise aasta sama perioodiga. Turvamüüja leidis ohutegureid, kes kasutasid pahavara kasutajanimede ja paroolide, brauseri teabe, näiteks profiilide ja automaatse täitmise teabe, krediitkaarditeabe, krüptorahakoti teabe ja süsteemiteabe varandamiseks. Uuemad infovarastajad, nagu Rhadamanthys, võivad Uptycsi andmetel ka spetsiaalselt varastada logisid mitmefaktorilise autentimise rakendustest. Varastatud andmeid sisaldavad logid müüakse seejärel kriminaalfoorumites, kus nende järele on suur nõudlus.

“Varastatud andmete väljafiltreerimisel on a ohtlik mõju organisatsioonidele või üksikisikud, kuna seda saab hõlpsasti müüa pimedas veebis kui esmase juurdepääsupunkti teistele ohus osalejatele,“ hoiatasid Uptycsi teadlased.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant