کمپین Evasive Jupyter Infostealer نوع خطرناکی را به نمایش می گذارد

محققان امنیتی افزایش اخیر حملاتی را مشاهده کرده‌اند که شامل یک نوع جدید پیچیده از Jupyter است، یک سارق اطلاعات که حداقل از سال 2020 کاربران مرورگرهای کروم، اج و فایرفاکس را هدف قرار داده است.

این بدافزار که با نام‌های Yellow Cockatoo، Solarmarker و Polazert نیز شناخته می‌شود، می‌تواند ماشین‌های درب پشتی و اطلاعات اعتباری مختلفی از جمله نام رایانه، امتیازات مدیریت کاربر، کوکی‌ها، داده‌های وب، اطلاعات مدیر رمز عبور مرورگر و سایر داده‌های حساس را جمع‌آوری کند. سیستم های قربانی – مانند ورود به سیستم کیف پول های دیجیتال و برنامه های دسترسی از راه دور.

تهدید سایبری دائمی برای سرقت اطلاعات

اخیراً محققان سرویس تشخیص و پاسخ مدیریت شده (MDR) Carbon Black VMware نسخه جدید را مشاهده کرد بدافزاری که از تغییرات فرمان PowerShell و محموله‌های دارای امضای دیجیتالی با ظاهر قانونی استفاده می‌کند و تعداد سیستم‌ها را از اواخر اکتبر به‌طور پیوسته در حال افزایش است.

VMware در وبلاگ امنیتی خود در این هفته گفت: "آلودگی های اخیر Jupyter از چندین گواهی برای امضای بدافزار خود استفاده می کنند که به نوبه خود می تواند به فایل مخرب اعتماد شود و دسترسی اولیه به دستگاه قربانی را فراهم کند." «به نظر می‌رسد این تغییرات قابلیت‌های فرار [ژوپیتر] را افزایش می‌دهند و به آن اجازه می‌دهند که نامحسوس باقی بماند.»

Morphisec و شاه توت - دو فروشنده دیگر که قبلا Jupyter را ردیابی کرده اند - این بدافزار را به عنوان یک درب پشتی کامل شناسایی کرده اند. آنها قابلیت های آن را شامل پشتیبانی از ارتباطات فرمان و کنترل (C2)، عمل به عنوان قطره چکان و بارگیری برای سایر بدافزارها، خالی کردن کد پوسته برای فرار از شناسایی، و اجرای اسکریپت ها و دستورات PowerShell توصیف کرده اند.

بلک بری گزارش داده است که Jupyter علاوه بر دسترسی به OpenVPN، پروتکل دسکتاپ از راه دور، و دیگر برنامه های کاربردی دسترسی از راه دور، کیف پول های رمزنگاری شده مانند Ethereum Wallet، MyMonero Wallet و Atomic Wallet را نیز مورد هدف قرار داده است.

اپراتورهای بدافزار از تکنیک‌های مختلفی برای توزیع بدافزار استفاده کرده‌اند، از جمله هدایت موتورهای جستجو به وب‌سایت‌های مخرب، دانلودهای درایو، فیشینگ، و مسمومیت سئو – یا دستکاری مخرب نتایج موتورهای جستجو برای ارائه بدافزار.

Jupyter: Getting Around Detection Malware

در جدیدترین حملات، عامل تهدید کننده ژوپیتر از گواهینامه های معتبر برای امضای دیجیتالی بدافزار استفاده می کند تا برای ابزارهای تشخیص بدافزار قانونی به نظر برسد. این فایل ها دارای نام هایی هستند که برای فریب دادن کاربران به باز کردن آنها طراحی شده اند، با عناوینی مانند "راهنمای-کارفرمایان-گروه-health-continuation.exe"و"How-To-Make-Make-Edits-On-A-Word-Document-Permanent.exe".

محققان VMware مشاهده کردند که این بدافزار چندین اتصال شبکه به سرور C2 خود برقرار می کند تا محموله اطلاعات سرقت را رمزگشایی کرده و آن را در حافظه بارگذاری کند، تقریباً بلافاصله پس از فرود بر روی یک سیستم قربانی.

بر اساس گزارش VMware، "با هدف قرار دادن مرورگرهای کروم، اج و فایرفاکس، عفونت های Jupyter از مسمومیت SEO و تغییر مسیر موتورهای جستجو برای تشویق دانلود فایل های مخرب که بردار حمله اولیه در زنجیره حمله هستند، استفاده می کنند." این بدافزار قابلیت‌های جمع‌آوری اعتبار و قابلیت‌های ارتباطی رمزگذاری‌شده C2 ​​را نشان داده است که برای استخراج داده‌های حساس استفاده می‌شود.»

افزایش نگران کننده در Infostealers

به گفته فروشنده، Jupyter در میان 10 عفونت شایعی است که VMware در سال های اخیر در شبکه های مشتری شناسایی کرده است. که با آنچه دیگران در مورد الف گزارش کرده اند سازگار است افزایش شدید و نگران کننده در استفاده از دزدهای اطلاعاتی پس از تغییر مقیاس بزرگ به کار از راه دور در بسیاری از سازمان ها پس از شروع همه گیری COVID-19.

قناری قرمزبه عنوان مثال، گزارش داد که دزدهای اطلاعاتی مانند RedLine، Racoon و Vidar چندین بار در سال 10 در لیست 2022 برتر خود قرار گرفتند. بیشتر اوقات، این بدافزار به عنوان فایل های نصب جعلی یا مسموم شده برای نرم افزارهای قانونی از طریق تبلیغات مخرب یا از طریق دستکاری SEO وارد می شد. این شرکت متوجه شد که مهاجمانی که از بدافزار استفاده می‌کنند، عمدتاً برای جمع‌آوری اعتبار از کارکنان راه دور که دسترسی سریع، مداوم و ممتاز به شبکه‌ها و سیستم‌های سازمانی را امکان‌پذیر می‌سازد، استفاده می‌کنند.

محققان Red Canary می‌گویند: «هیچ صنعتی از بدافزارهای دزد مصون نیست و گسترش چنین بدافزاری اغلب فرصت‌طلبانه است، معمولاً از طریق تبلیغات و دستکاری سئو.

Uptycs گزارش داد افزایش مشابه و نگران کننده در توزیع infostealer در اوایل سال جاری. داده‌هایی که این شرکت ردیابی کرده است نشان می‌دهد که تعداد حوادثی که در آن یک مهاجم یک دزد اطلاعاتی را مستقر کرده است در سه ماهه اول سال 2023 در مقایسه با مدت مشابه سال گذشته بیش از دو برابر شده است. فروشنده امنیتی عوامل تهدیدی را پیدا کرد که از این بدافزار برای سرقت نام‌های کاربری و رمز عبور، اطلاعات مرورگر مانند نمایه‌ها و اطلاعات تکمیل خودکار، اطلاعات کارت اعتباری، اطلاعات کیف پول دیجیتال و اطلاعات سیستم استفاده می‌کردند. به گفته Uptycs، دزدهای اطلاعاتی جدیدتر مانند Rhadamanthys نیز می توانند به طور خاص لاگ ها را از برنامه های احراز هویت چند عاملی بدزدند. لاگ های حاوی داده های دزدیده شده سپس در انجمن های جنایی فروخته می شوند، جایی که تقاضای زیادی برای آن وجود دارد.

«استخراج داده های دزدیده شده دارای یک تاثیر خطرناک بر سازمان ها محققان Uptycs هشدار دادند که می تواند به راحتی در وب تاریک به عنوان یک نقطه دسترسی اولیه برای سایر عوامل تهدید فروخته شود.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant