La campagne évasive Jupyter Infostealer présente une variante dangereuse

Les chercheurs en sécurité ont repéré une récente augmentation des attaques impliquant une nouvelle variante sophistiquée de Jupyter, un voleur d'informations qui cible les utilisateurs des navigateurs Chrome, Edge et Firefox depuis au moins 2020.

Les logiciels malveillants, également appelés Yellow Cockatoo, Solarmarker et Polazert, peuvent détourner les machines et récolter diverses informations d'identification, notamment le nom de l'ordinateur, les privilèges d'administrateur de l'utilisateur, les cookies, les données Web, les informations du gestionnaire de mots de passe du navigateur et d'autres données sensibles. systèmes victimes – tels que les connexions aux portefeuilles cryptographiques et aux applications d’accès à distance.

Une cybermenace persistante de vol de données

Des chercheurs du service géré de détection et de réponse (MDR) Carbon Black de VMware ont récemment observé la nouvelle version du malware exploitant les modifications des commandes PowerShell et des charges utiles d'apparence légitime et signées numériquement, infectant un nombre sans cesse croissant de systèmes depuis fin octobre.

"Les récentes infections Jupyter utilisent plusieurs certificats pour signer leurs logiciels malveillants, ce qui, à leur tour, peut permettre d'accorder la confiance au fichier malveillant, fournissant ainsi un premier accès à la machine de la victime", a déclaré VMware dans son blog de sécurité cette semaine. "Ces modifications semblent améliorer les capacités d'évasion [de Jupyter], lui permettant de rester discret."

Morphisec et les BlackBerry – deux autres fournisseurs qui ont déjà suivi Jupyter – ont identifié le malware comme capable de fonctionner comme une porte dérobée à part entière. Ils ont décrit ses capacités comme incluant la prise en charge des communications de commande et de contrôle (C2), agissant comme un compte-gouttes et un chargeur pour d'autres logiciels malveillants, vidant le code shell pour échapper à la détection et exécutant des scripts et des commandes PowerShell.

BlackBerry a signalé avoir observé que Jupyter ciblait également les portefeuilles cryptographiques, tels que Ethereum Wallet, MyMonero Wallet et Atomic Wallet, en plus d'accéder à OpenVPN, Remote Desktop Protocol et à d'autres applications d'accès à distance.

Les opérateurs du logiciel malveillant ont utilisé diverses techniques pour distribuer le logiciel malveillant, notamment les redirections des moteurs de recherche vers des sites Web malveillants, les téléchargements inopinés, le phishing et l'empoisonnement du référencement, ou encore la manipulation malveillante des résultats des moteurs de recherche pour diffuser des logiciels malveillants.

Jupyter : contourner la détection des logiciels malveillants

Lors des attaques les plus récentes, l'auteur de la menace derrière Jupyter a utilisé des certificats valides pour signer numériquement le malware afin qu'il apparaisse légitime aux outils de détection des logiciels malveillants. Les fichiers portent des noms conçus pour inciter les utilisateurs à les ouvrir, avec des titres tels que «An-employers-guide-to-group-health-continuation.exe" et "Comment-faire-des-modifications-sur-un-document-Word-Permanent.exe" .

Les chercheurs de VMware ont observé que le logiciel malveillant établissait plusieurs connexions réseau à son serveur C2 pour décrypter la charge utile du voleur d'informations et la charger en mémoire, presque immédiatement après son atterrissage sur le système victime.

"Ciblant les navigateurs Chrome, Edge et Firefox, les infections Jupyter utilisent l'empoisonnement du référencement et les redirections des moteurs de recherche pour encourager les téléchargements de fichiers malveillants qui constituent le vecteur d'attaque initial de la chaîne d'attaque", selon le rapport de VMware. "Le malware a démontré des capacités de collecte d'informations d'identification et de communication C2 cryptées utilisées pour exfiltrer des données sensibles."

Une augmentation inquiétante du nombre de voleurs d’informations

Jupyter fait partie des 10 infections les plus fréquentes détectées par VMware sur les réseaux clients ces dernières années, selon le fournisseur. Cela concorde avec ce que d'autres ont rapporté à propos d'un hausse brutale et inquiétante dans l’utilisation d’infostealers suite au passage à grande échelle au travail à distance dans de nombreuses organisations après le début de la pandémie de COVID-19.

Canaries rouges, par exemple, a signalé que des voleurs d'informations tels que RedLine, Racoon et Vidar figuraient plusieurs fois dans le top 10 en 2022. Le plus souvent, les logiciels malveillants arrivaient sous forme de fichiers d'installation faux ou empoisonnés pour des logiciels légitimes via des publicités malveillantes ou via une manipulation SEO. L'entreprise a découvert que les attaquants utilisaient le logiciel malveillant principalement pour tenter d'obtenir des informations d'identification auprès de travailleurs distants, ce qui permettait un accès rapide, persistant et privilégié aux réseaux et systèmes de l'entreprise.

"Aucune industrie n'est à l'abri des logiciels malveillants voleurs et la propagation de ces logiciels malveillants est souvent opportuniste, généralement par le biais de la publicité et de la manipulation du référencement", ont déclaré les chercheurs de Red Canary.

Uptycs a signalé un augmentation similaire et inquiétante dans la distribution infostealer plus tôt cette année. Les données suivies par l'entreprise ont montré que le nombre d'incidents dans lesquels un attaquant a déployé un voleur d'informations a plus que doublé au premier trimestre 2023, par rapport à la même période de l'année dernière. Le fournisseur de sécurité a découvert que des acteurs malveillants utilisaient le logiciel malveillant pour voler des noms d'utilisateur et des mots de passe, des informations de navigateur telles que des profils et des informations de remplissage automatique, des informations de carte de crédit, des informations de portefeuille cryptographique et des informations système. Selon Uptycs, de nouveaux voleurs d'informations tels que Rhadamanthys peuvent également voler spécifiquement les journaux des applications d'authentification multifactorielle. Les journaux contenant les données volées sont ensuite vendus sur des forums criminels, où la demande est forte.

« L'exfiltration des données volées a un impact dangereux sur les organisations ou des individus, car ils peuvent facilement être vendus sur le dark web comme point d’accès initial pour d’autres acteurs de la menace », ont prévenu les chercheurs d’Uptycs.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant