Evasive Jupyter Infostealer -kampanja esittelee vaarallisia vaihtoehtoja

Evasive Jupyter Infostealer -kampanja esittelee vaarallisia vaihtoehtoja

Aikaleima: 8. marraskuuta 2023 5
Kiertelevä Jupyter Infostealer -kampanja esittelee vaarallisia PlatoBlockchain-tietoälykkäitä. Pystysuuntainen haku. Ai.

Tietoturvatutkijat ovat havainneet äskettäin lisääntyneen hyökkäyksiä, jotka koskevat Jupyterin kehittynyttä uutta varianttia, tiedon varastajaa, joka on kohdistanut Chrome-, Edge- ja Firefox-selaimien käyttäjiin ainakin vuodesta 2020 lähtien.

Haittaohjelma, jota kutsutaan myös nimellä Yellow Cockatoo, Solarmarker ja Polazert, voi avata takaoven koneita ja kerätä erilaisia ​​valtuustietoja, kuten tietokoneen nimen, käyttäjän järjestelmänvalvojan oikeudet, evästeet, verkkotiedot, selaimen salasanojen hallintatiedot ja muut arkaluontoiset tiedot uhrijärjestelmät – kuten kirjautumiset kryptolompakoihin ja etäkäyttösovelluksiin.

Jatkuva datavarastava kyberuhka

VMwaren Carbon Blackin tutkijat onnistuivat äskettäin havaitsemaan ja reagoimaan (MDR). huomioinut uuden version haittaohjelmat, jotka hyödyntävät PowerShell-komentomuutoksia ja laillisen näköisiä, digitaalisesti allekirjoitettuja hyötykuormia, tartuttaen tasaisesti kasvavaa määrää järjestelmiä lokakuun lopusta lähtien.

"Viimeaikaiset Jupyter-tartunnat käyttävät useita varmenteita haittaohjelmiensa allekirjoittamiseen, mikä puolestaan ​​​​voi antaa luottamuksellisen tiedoston haitalliselle tiedostolle ja tarjoaa alustavan pääsyn uhrin koneeseen", VMware sanoi tietoturvablogissaan tällä viikolla. "Nämä muutokset näyttävät parantavan [Jupyterin] väistämiskykyä, jolloin se pysyy huomaamattomana."

Morphisec ja BlackBerry – kaksi muuta toimittajaa, jotka ovat aiemmin seuranneet Jupyteria – ovat tunnistaneet haittaohjelman kykenevän toimimaan täysimittaisena takaovena. He ovat kuvailleet sen ominaisuuksiin sisältyvän tuki komento- ja ohjausviestinnälle (C2), toimiminen muiden haittaohjelmien tiputtajana ja lataajana, shell-koodin tyhjentäminen havaitsemisen välttämiseksi ja PowerShell-skriptien ja -komentojen suorittaminen.

BlackBerry on raportoinut havainneensa Jupyterin kohdistuvan myös kryptolompakoihin, kuten Ethereum Wallet, MyMonero Wallet ja Atomic Wallet, OpenVPN:n, Remote Desktop Protocolin ja muiden etäkäyttösovellusten lisäksi.

Haittaohjelmien operaattorit ovat käyttäneet erilaisia ​​tekniikoita haittaohjelmien levittämiseen, mukaan lukien hakukoneiden uudelleenohjaukset haitallisille verkkosivustoille, lataukset, tietojenkalastelu ja SEO-myrkytys – tai hakukoneiden tulosten haitallinen manipulointi haittaohjelmien toimittamiseksi.

Jupyter: Haittaohjelmien havaitseminen

Viimeisimmissä hyökkäyksissä Jupyterin takana oleva uhkatekijä on käyttänyt kelvollisia varmenteita haittaohjelman digitaaliseen allekirjoittamiseen, jotta se näyttää aidolta haittaohjelmien havaitsemistyökaluille. Tiedostoilla on nimet, jotka on suunniteltu huijaamaan käyttäjiä avaamaan ne, esimerkiksi "An-employers-guide-to-group-health-continuation.exe"Ja"How-To-Make-Edits-On-A-Word-Document-Permanent.exe".

VMwaren tutkijat havaitsivat haittaohjelman muodostavan useita verkkoyhteyksiä sen C2-palvelimelle purkaakseen tietovarastajan hyötykuorman salauksen ja ladatakseen sen muistiin, melkein heti, kun se laskeutui uhrijärjestelmään.

"Chrome-, Edge- ja Firefox-selaimiin kohdistetut Jupyter-infektiot käyttävät SEO-myrkytyksiä ja hakukoneiden uudelleenohjauksia kannustaakseen haitallisten tiedostojen lataamista, jotka ovat ensimmäinen hyökkäysvektori hyökkäysketjussa", VMwaren raportin mukaan. "Haittaohjelma on osoittanut tunnistetietojen keräämistä ja salattuja C2-viestintäominaisuuksia, joita on käytetty arkaluonteisten tietojen suodattamiseen."

Infostealereiden huolestuttava kasvu

Jupyter on myyjän mukaan kymmenen yleisimmän infektion joukossa, jotka VMware on havainnut asiakasverkoissa viime vuosina. Tämä on yhdenmukainen sen kanssa, mitä muut ovat raportoineet aiheesta a terävä ja huolestuttava nousu tietovarastajien käytössä sen jälkeen, kun monissa organisaatioissa siirryttiin laajamittaiseen etätyöhön COVID-19-pandemian alkamisen jälkeen.

Punainen KanariansaariEsimerkiksi RedLinen, Racoonin ja Vidarin kaltaiset tietovarastot pääsivät kymmenen parhaan listansa joukkoon useita kertoja vuonna 10. Useimmiten haittaohjelmat saapuivat väärennetyinä tai myrkytettyinä laillisen ohjelmiston asennustiedostoina haitallisten mainosten tai SEO-manipuloinnin kautta. Yritys löysi hyökkääjiä, jotka käyttivät haittaohjelmia pääasiassa yrittäessään kerätä etätyöntekijöiltä tunnistetietoja, jotka mahdollistivat nopean, jatkuvan ja etuoikeutetun pääsyn yrityksen verkkoihin ja järjestelmiin.

"Mikään toimiala ei ole immuuni varastavalle haittaohjelmalle, ja tällaisten haittaohjelmien leviäminen on usein opportunistista, yleensä mainonnan ja hakukoneoptimoinnin manipuloinnin kautta", Red Canaryn tutkijat sanoivat.

Uptycs ilmoitti a samanlainen ja huolestuttava kasvu infostealer-jakelussa aiemmin tänä vuonna. Yrityksen seuraamat tiedot osoittivat, kuinka monta tapausta, joissa hyökkääjä käytti tietovarastoja, yli kaksinkertaistui vuoden 2023 ensimmäisellä neljänneksellä verrattuna viime vuoden vastaavaan ajanjaksoon. Tietoturvatoimittaja löysi uhkaohjelmia varastaneet käyttäjätunnuksia ja salasanoja, selaintietoja, kuten profiileja ja automaattisen täytön tietoja, luottokorttitietoja, kryptolompakkotietoja ja järjestelmätietoja. Uudemmat tietovarastot, kuten Rhadamanthys, voivat Uptycsin mukaan myös varastaa lokeja monitekijätodennussovelluksista. Varastetut tiedot sisältävät lokit myydään sitten rikosfoorumeilla, joilla niille on kova kysyntä.

"Varastettujen tietojen suodattamisella on a vaarallisia vaikutuksia organisaatioihin tai yksilöitä, koska se voidaan helposti myydä pimeässä verkossa ensimmäiseksi yhteyspisteeksi muille uhkatoimijoille”, Uptycsin tutkijat varoittivat.

Aikaleima:

Lisää aiheesta Pimeää luettavaa