Tietoturvatutkijat ovat havainneet äskettäin lisääntyneen hyökkäyksiä, jotka koskevat Jupyterin kehittynyttä uutta varianttia, tiedon varastajaa, joka on kohdistanut Chrome-, Edge- ja Firefox-selaimien käyttäjiin ainakin vuodesta 2020 lähtien.
Haittaohjelma, jota kutsutaan myös nimellä Yellow Cockatoo, Solarmarker ja Polazert, voi avata takaoven koneita ja kerätä erilaisia valtuustietoja, kuten tietokoneen nimen, käyttäjän järjestelmänvalvojan oikeudet, evästeet, verkkotiedot, selaimen salasanojen hallintatiedot ja muut arkaluontoiset tiedot uhrijärjestelmät – kuten kirjautumiset kryptolompakoihin ja etäkäyttösovelluksiin.
Jatkuva datavarastava kyberuhka
VMwaren Carbon Blackin tutkijat onnistuivat äskettäin havaitsemaan ja reagoimaan (MDR). huomioinut uuden version haittaohjelmat, jotka hyödyntävät PowerShell-komentomuutoksia ja laillisen näköisiä, digitaalisesti allekirjoitettuja hyötykuormia, tartuttaen tasaisesti kasvavaa määrää järjestelmiä lokakuun lopusta lähtien.
"Viimeaikaiset Jupyter-tartunnat käyttävät useita varmenteita haittaohjelmiensa allekirjoittamiseen, mikä puolestaan voi antaa luottamuksellisen tiedoston haitalliselle tiedostolle ja tarjoaa alustavan pääsyn uhrin koneeseen", VMware sanoi tietoturvablogissaan tällä viikolla. "Nämä muutokset näyttävät parantavan [Jupyterin] väistämiskykyä, jolloin se pysyy huomaamattomana."
Morphisec ja BlackBerry – kaksi muuta toimittajaa, jotka ovat aiemmin seuranneet Jupyteria – ovat tunnistaneet haittaohjelman kykenevän toimimaan täysimittaisena takaovena. He ovat kuvailleet sen ominaisuuksiin sisältyvän tuki komento- ja ohjausviestinnälle (C2), toimiminen muiden haittaohjelmien tiputtajana ja lataajana, shell-koodin tyhjentäminen havaitsemisen välttämiseksi ja PowerShell-skriptien ja -komentojen suorittaminen.
BlackBerry on raportoinut havainneensa Jupyterin kohdistuvan myös kryptolompakoihin, kuten Ethereum Wallet, MyMonero Wallet ja Atomic Wallet, OpenVPN:n, Remote Desktop Protocolin ja muiden etäkäyttösovellusten lisäksi.
Haittaohjelmien operaattorit ovat käyttäneet erilaisia tekniikoita haittaohjelmien levittämiseen, mukaan lukien hakukoneiden uudelleenohjaukset haitallisille verkkosivustoille, lataukset, tietojenkalastelu ja SEO-myrkytys – tai hakukoneiden tulosten haitallinen manipulointi haittaohjelmien toimittamiseksi.
Jupyter: Haittaohjelmien havaitseminen
Viimeisimmissä hyökkäyksissä Jupyterin takana oleva uhkatekijä on käyttänyt kelvollisia varmenteita haittaohjelman digitaaliseen allekirjoittamiseen, jotta se näyttää aidolta haittaohjelmien havaitsemistyökaluille. Tiedostoilla on nimet, jotka on suunniteltu huijaamaan käyttäjiä avaamaan ne, esimerkiksi "An-employers-guide-to-group-health-continuation.exe"Ja"How-To-Make-Edits-On-A-Word-Document-Permanent.exe".
VMwaren tutkijat havaitsivat haittaohjelman muodostavan useita verkkoyhteyksiä sen C2-palvelimelle purkaakseen tietovarastajan hyötykuorman salauksen ja ladatakseen sen muistiin, melkein heti, kun se laskeutui uhrijärjestelmään.
"Chrome-, Edge- ja Firefox-selaimiin kohdistetut Jupyter-infektiot käyttävät SEO-myrkytyksiä ja hakukoneiden uudelleenohjauksia kannustaakseen haitallisten tiedostojen lataamista, jotka ovat ensimmäinen hyökkäysvektori hyökkäysketjussa", VMwaren raportin mukaan. "Haittaohjelma on osoittanut tunnistetietojen keräämistä ja salattuja C2-viestintäominaisuuksia, joita on käytetty arkaluonteisten tietojen suodattamiseen."
Infostealereiden huolestuttava kasvu
Jupyter on myyjän mukaan kymmenen yleisimmän infektion joukossa, jotka VMware on havainnut asiakasverkoissa viime vuosina. Tämä on yhdenmukainen sen kanssa, mitä muut ovat raportoineet aiheesta a terävä ja huolestuttava nousu tietovarastajien käytössä sen jälkeen, kun monissa organisaatioissa siirryttiin laajamittaiseen etätyöhön COVID-19-pandemian alkamisen jälkeen.
Punainen KanariansaariEsimerkiksi RedLinen, Racoonin ja Vidarin kaltaiset tietovarastot pääsivät kymmenen parhaan listansa joukkoon useita kertoja vuonna 10. Useimmiten haittaohjelmat saapuivat väärennetyinä tai myrkytettyinä laillisen ohjelmiston asennustiedostoina haitallisten mainosten tai SEO-manipuloinnin kautta. Yritys löysi hyökkääjiä, jotka käyttivät haittaohjelmia pääasiassa yrittäessään kerätä etätyöntekijöiltä tunnistetietoja, jotka mahdollistivat nopean, jatkuvan ja etuoikeutetun pääsyn yrityksen verkkoihin ja järjestelmiin.
"Mikään toimiala ei ole immuuni varastavalle haittaohjelmalle, ja tällaisten haittaohjelmien leviäminen on usein opportunistista, yleensä mainonnan ja hakukoneoptimoinnin manipuloinnin kautta", Red Canaryn tutkijat sanoivat.
Uptycs ilmoitti a samanlainen ja huolestuttava kasvu infostealer-jakelussa aiemmin tänä vuonna. Yrityksen seuraamat tiedot osoittivat, kuinka monta tapausta, joissa hyökkääjä käytti tietovarastoja, yli kaksinkertaistui vuoden 2023 ensimmäisellä neljänneksellä verrattuna viime vuoden vastaavaan ajanjaksoon. Tietoturvatoimittaja löysi uhkaohjelmia varastaneet käyttäjätunnuksia ja salasanoja, selaintietoja, kuten profiileja ja automaattisen täytön tietoja, luottokorttitietoja, kryptolompakkotietoja ja järjestelmätietoja. Uudemmat tietovarastot, kuten Rhadamanthys, voivat Uptycsin mukaan myös varastaa lokeja monitekijätodennussovelluksista. Varastetut tiedot sisältävät lokit myydään sitten rikosfoorumeilla, joilla niille on kova kysyntä.
"Varastettujen tietojen suodattamisella on a vaarallisia vaikutuksia organisaatioihin tai yksilöitä, koska se voidaan helposti myydä pimeässä verkossa ensimmäiseksi yhteyspisteeksi muille uhkatoimijoille”, Uptycsin tutkijat varoittivat.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant
- :on
- :On
- :missä
- 10
- 2020
- 2022
- 2023
- 7
- a
- Meistä
- pääsy
- Pääsy
- Mukaan
- toimiva
- toimijoiden
- Lisäksi
- admin
- mainonta
- Jälkeen
- sallia
- Salliminen
- melkein
- Myös
- keskuudessa
- an
- ja
- näyttää
- sovellukset
- sovellukset
- OVAT
- noin
- saapui
- AS
- At
- hyökkäys
- Hyökkäykset
- Authentication
- takaoven
- BE
- ollut
- alkoi
- takana
- Musta
- Blogi
- selain
- selaimet
- Kampanja
- CAN
- kyvyt
- kykenee
- hiili
- kortti
- todistukset
- ketju
- kromi
- asiakas
- koodi
- Viestintä
- Yhteydenpito
- yritys
- verrattuna
- tietokone
- koskevat
- Liitännät
- johdonmukainen
- ohjaus
- keksit
- Covid-19
- COVID-19 -pandemia
- TOIMINTAKERTOMUS
- Valtakirja
- pisteitä
- luottokortti
- Rikollinen
- cyber
- Vaarallinen
- tumma
- tumma Web
- tiedot
- Pura
- toimittaa
- Kysyntä
- osoittivat
- käyttöön
- on kuvattu
- suunniteltu
- pöytä-
- havaittu
- Detection
- digitaalisesti
- jakaa
- jakelu
- kaksinkertaistui
- lataukset
- Aikaisemmin
- helposti
- reuna
- käytössä
- kannustaa
- salattu
- Moottori
- parantaa
- yritys
- ethereum
- Ethereum-lompakko
- välttely
- täytäntöönpanosta
- suodatus
- väärennös
- filee
- Asiakirjat
- Firefox
- Etunimi
- jälkeen
- varten
- foorumit
- löytyi
- tiheä
- alkaen
- täysimittainen
- toiminta
- kerätä
- saada
- myönnetty
- sato
- korjuu
- Olla
- raskas
- HTML
- HTTPS
- tunnistettu
- heti
- Vaikutus
- in
- Mukaan lukien
- Kasvaa
- henkilöt
- teollisuus
- infektiot
- tiedot
- tiedot
- ensimmäinen
- esimerkki
- tulee
- johon
- IT
- SEN
- jpg
- lasku
- laaja
- Sukunimi
- Viime vuonna
- Myöhään
- vähiten
- laillinen
- vipuvaikutuksen
- Listat
- kuormitus
- loader
- kone
- Koneet
- tehty
- pääasiallisesti
- Tekeminen
- haittaohjelmat
- haittaohjelmien havaitseminen
- onnistui
- johtaja
- käsittelylaite
- Manipulointi
- monet
- MDR
- Muisti
- Muutokset
- lisää
- eniten
- monitekijäinen todennus
- moninkertainen
- nimi
- nimet
- verkko
- verkot
- Uusi
- Nro
- numero
- lokakuu
- of
- usein
- on
- avaaminen
- operaattorit
- or
- organisaatioiden
- Muut
- Muuta
- pandeeminen
- Salasana
- Password Manager
- salasanat
- aika
- Phishing
- Platon
- Platonin tietotieto
- PlatonData
- Kohta
- PowerShell
- aiemmin
- etuoikeutettu
- oikeudet
- Profiilit
- protokolla
- tarjoamalla
- Neljännes
- nopea
- pesukarhu
- äskettäinen
- äskettäin
- punainen
- tarkoitettuja
- jäädä
- kaukosäädin
- etäkäyttö
- etätyö
- etätyöntekijät
- raportti
- raportoitu
- Tutkijat
- vastaus
- tulokset
- nouseva
- s
- Said
- sama
- skriptejä
- Haku
- hakukone
- turvallisuus
- näyttää
- sensible
- SEO
- palvelin
- palvelu
- Kuori
- siirtää
- osoittivat
- merkki
- allekirjoitettu
- koska
- So
- Tuotteemme
- myyty
- hienostunut
- erityisesti
- levitä
- tasaisesti
- varastettu
- niin
- tuki
- järjestelmä
- järjestelmät
- kohdistaminen
- tekniikat
- kuin
- että
- -
- heidän
- Niitä
- sitten
- Siellä.
- Nämä
- ne
- tätä
- tällä viikolla
- Tämä vuosi
- uhkaus
- uhka toimijat
- Kautta
- kertaa
- otsikot
- että
- työkalut
- ylin
- Top 10
- huolestuttavaa
- Luottamus
- yrittää
- VUORO
- kaksi
- päälle
- käyttää
- käytetty
- käyttäjä
- Käyttäjät
- käyttämällä
- yleensä
- käyttää
- pätevä
- variantti
- lajike
- myyjä
- myyjät
- kautta
- Uhri
- vMware
- Lompakko
- verkko
- sivustot
- viikko
- Mitä
- joka
- with
- Referenssit
- työntekijöitä
- vuosi
- vuotta
- zephyrnet