Biztonsági kutatók azt észlelték, hogy a közelmúltban megnövekedett a támadások száma a Jupyter kifinomult új változatával, egy információlopóval, amely legalább 2020 óta célozza a Chrome, Edge és Firefox böngészők felhasználóit.
A Yellow Cockatoo, Solarmarker és Polazert néven is emlegetett kártevő bezárhatja a gépeket, és számos hitelesítő adatot gyűjthet be, beleértve a számítógép nevét, a felhasználó rendszergazdai jogosultságait, cookie-kat, webes adatokat, a böngésző jelszókezelő adatait és egyéb érzékeny adatokat. áldozatrendszerek – például a kriptopénztárcákhoz és a távoli elérésű alkalmazásokhoz való bejelentkezés.
Állandó adatlopó kiberfenyegetés
A VMware Carbon Black nevű szolgáltatásának kutatói a közelmúltban felügyelték az észlelési és válaszadási (MDR) szolgáltatást figyelte az új verziót a rosszindulatú program, amely a PowerShell parancsmódosításait és a törvényesnek tűnő, digitálisan aláírt rakományokat használja fel, és október vége óta folyamatosan növekvő számú rendszert fertőz meg.
"A legutóbbi Jupyter-fertőzések több tanúsítványt használnak a rosszindulatú programjuk aláírására, ami viszont lehetővé teszi a rosszindulatú fájl bizalmának megadását, és kezdeti hozzáférést biztosít az áldozat gépéhez" - mondta a VMware biztonsági blogjában ezen a héten. „Úgy tűnik, ezek a módosítások fokozzák [Jupyter] kikerülési képességeit, lehetővé téve, hogy észrevétlen maradjon.”
Morphisec és a BlackBerry - két másik szállító, akik korábban nyomon követték a Jupytert - a kártevőt úgy azonosították, mint amely képes teljes értékű hátsó ajtóként működni. Leírták a képességeit, beleértve a parancs- és vezérlési (C2) kommunikáció támogatását, más rosszindulatú programok betöltőjeként és betöltőként való működését, a shell kód kiürítését az észlelés elkerülése érdekében, valamint PowerShell-szkriptek és -parancsok végrehajtását.
A BlackBerry arról számolt be, hogy megfigyelték, hogy a Jupyter az OpenVPN, a Remote Desktop Protocol és más távoli hozzáférési alkalmazások elérésén túl a titkosítási pénztárcákat is megcélozza, mint például az Ethereum Wallet, a MyMonero Wallet és az Atomic Wallet.
A kártevő üzemeltetői számos technikát alkalmaztak a rosszindulatú programok terjesztésére, beleértve a keresőmotorok rosszindulatú webhelyekre történő átirányítását, a hajtóműves letöltéseket, az adathalászatot és a SEO-mérgezést – vagy a keresőmotorok eredményeinek rosszindulatú manipulálását rosszindulatú programok megjelenítésére.
Jupyter: Ismerkedés a rosszindulatú programok észlelésével
A legutóbbi támadások során a Jupyter mögött álló fenyegetések szereplője érvényes tanúsítványokat használt a rosszindulatú program digitális aláírására, hogy az legitimnek tűnjön a rosszindulatú programokat észlelő eszközök számára. A fájlok nevei úgy vannak kialakítva, hogy megpróbálják rávenni a felhasználókat, hogy nyissa meg őket, például „An-employers-guide-to-group-health-continuation.exe"És"Hogyan készítsünk-Edits-On-A-Word-Document-Permanent.exe".
A VMware kutatói megfigyelték, hogy a rosszindulatú program többszörös hálózati kapcsolatot létesített a C2 szerverével, hogy visszafejtse az infolopó rakományát, és betöltse a memóriába, szinte azonnal, amikor az áldozat rendszeren landolt.
A VMware jelentése szerint a Chrome, Edge és Firefox böngészőket célzó Jupyter fertőzések SEO mérgezést és keresőmotor-átirányításokat használnak, hogy ösztönözzék a rosszindulatú fájlok letöltését, amelyek a támadási lánc kezdeti támadási vektorai. "A rosszindulatú program bebizonyította a hitelesítő adatok begyűjtését és titkosított C2 kommunikációs képességeket, amelyeket az érzékeny adatok kiszűrésére használnak."
Zavarba ejtő növekedés az információlopók számában
A gyártó szerint a Jupyter a 10 leggyakoribb fertőzés közé tartozik, amelyet a VMware észlelt az elmúlt években az ügyfélhálózatokon. Ez összhangban van azzal, amit mások beszámoltak a éles és aggasztó emelkedés az infolopók használatában, miután a COVID-19 világjárvány kezdetét követően számos szervezetnél nagymértékben áttértek a távmunkára.
Vörös KanáriPéldául arról számolt be, hogy az olyan infolopók, mint a RedLine, a Racoon és a Vidar, 10-ben többször is felkerültek a top 2022-es listára. Leggyakrabban a rosszindulatú programok hamis vagy megmérgezett telepítőfájlokként érkeztek a legális szoftverekhez rosszindulatú hirdetéseken vagy SEO manipuláción keresztül. A vállalat olyan támadókat talált, akik a rosszindulatú programot főként azért használták, hogy olyan hitelesítő adatokat gyűjtsenek be távoli dolgozóktól, amelyek gyors, tartós és kiváltságos hozzáférést tettek lehetővé a vállalati hálózatokhoz és rendszerekhez.
"Egyetlen iparág sem mentes a lopó rosszindulatú programoktól, és az ilyen rosszindulatú programok terjedése gyakran opportunista, általában reklámozás és SEO manipuláció révén" - mondták a Red Canary kutatói.
Uptycs jelentette a hasonló és aggasztó növekedés az infostealer terjesztésben az év elején. A cég által nyomon követett adatok azt mutatják, hogy 2023 első negyedévében több mint duplájára nőtt azoknak az incidenseknek a száma, amelyekben egy támadó infólopót telepített az előző év azonos időszakához képest. A biztonsági szolgáltató fenyegető szereplőket talált, akik a kártevőt felhasználónevek és jelszavak, böngészőinformációk, például profilok és automatikus kitöltési információk, hitelkártya-információk, titkosítótárca-információk és rendszerinformációk ellopására használták. Az Uptycs szerint az újabb infolopók, mint például a Rhadamanthys, kifejezetten képesek naplókat lopni többtényezős hitelesítési alkalmazásokból. Az ellopott adatokat tartalmazó naplókat aztán bûnügyi fórumokon értékesítik, ahol nagy kereslet van rá.
„Az ellopott adatok kiszűrése a veszélyes hatással van a szervezetekre vagy magánszemélyek, mivel könnyen eladható a sötét weben, mint kezdeti hozzáférési pont más fenyegetés szereplői számára” – figyelmeztettek az Uptycs kutatói.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant
- :van
- :is
- :ahol
- 10
- 2020
- 2022
- 2023
- 7
- a
- Rólunk
- hozzáférés
- Hozzáférés
- Szerint
- ható
- szereplők
- mellett
- admin
- Hirdetés
- Után
- lehetővé
- lehetővé téve
- majdnem
- Is
- között
- an
- és a
- Megjelenik
- alkalmazások
- alkalmazások
- VANNAK
- körül
- megérkezett
- AS
- At
- támadás
- Támadások
- Hitelesítés
- hátsó ajtó
- BE
- óta
- kezdődött
- mögött
- Fekete
- Blog
- böngésző
- böngészők
- Kampány
- TUD
- képességek
- képes
- szén
- kártya
- tanúsítványok
- lánc
- króm
- vásárló
- kód
- közlés
- távközlés
- vállalat
- képest
- számítógép
- vonatkozó
- kapcsolatok
- következetes
- ellenőrzés
- keksz
- Covid-19
- COVID-19 járvány
- HITELEZÉS
- Hitelesítő adatok
- hitel
- hitelkártya
- Bűnügyi
- cyber
- Veszélyes
- sötét
- Sötét web
- dátum
- visszafejtése
- szállít
- Kereslet
- igazolták
- telepített
- leírt
- tervezett
- asztali
- észlelt
- Érzékelés
- digitálisan
- terjeszteni
- terjesztés
- megduplázásával
- letöltések
- Korábban
- könnyen
- él
- engedélyezve
- ösztönzése
- titkosított
- Motor
- növelése
- Vállalkozás
- Ethereum
- Ethereum pénztárca
- adócsalás
- végrehajtó
- kiszűrés
- hamisítvány
- filé
- Fájlok
- Firefox
- vezetéknév
- következő
- A
- fórumok
- talált
- gyakori
- ból ből
- teljes értékű
- működése
- gyűjt
- szerzés
- megadott
- aratás
- Aratás
- Legyen
- nehéz
- HTML
- HTTPS
- azonosított
- azonnal
- Hatás
- in
- Beleértve
- Növelje
- egyének
- ipar
- fertőzések
- info
- információ
- kezdetben
- példa
- bele
- bevonásával
- IT
- ITS
- jpg
- leszállási
- nagyarányú
- keresztnév
- Tavaly
- Késő
- legkevésbé
- jogos
- erőfölény
- listák
- kiszámításának
- rakodó
- gép
- gép
- készült
- főleg
- Gyártás
- malware
- rosszindulatú programok észlelése
- sikerült
- menedzser
- manipuláló
- Manipuláció
- sok
- MDR
- Memory design
- Módosítások
- több
- a legtöbb
- többtényezős hitelesítés
- többszörös
- név
- nevek
- hálózat
- hálózatok
- Új
- nem
- szám
- október
- of
- gyakran
- on
- nyitás
- üzemeltetők
- or
- szervezetek
- Más
- Egyéb
- járvány
- Jelszó
- Password Manager
- jelszavak
- időszak
- Adathalászat
- Plató
- Platón adatintelligencia
- PlatoData
- pont
- PowerShell
- korábban
- kiváltságos
- kiváltságok
- Profilok
- protokoll
- amely
- Negyed
- Quick
- mosómedve
- új
- nemrég
- Piros
- említett
- marad
- távoli
- távoli hozzáférés
- távoli munka
- távoli munkavállalók
- jelentést
- Számolt
- kutatók
- válasz
- Eredmények
- felkelő
- s
- Mondott
- azonos
- szkriptek
- Keresés
- kereső
- biztonság
- látszik
- érzékeny
- SEO
- szerver
- szolgáltatás
- Héj
- váltás
- kimutatta,
- <p></p>
- aláírt
- óta
- So
- szoftver
- eladott
- kifinomult
- kifejezetten
- terjedése
- folyamatosan
- lopott
- ilyen
- támogatás
- rendszer
- Systems
- célzás
- technikák
- mint
- hogy
- A
- azok
- Őket
- akkor
- Ott.
- Ezek
- ők
- ezt
- ezen a héten
- idén
- fenyegetés
- fenyegetés szereplői
- Keresztül
- alkalommal
- címei
- nak nek
- szerszámok
- felső
- Top 10
- nyugtalanító
- Bízzon
- megpróbál
- FORDULAT
- kettő
- upon
- használ
- használt
- használó
- Felhasználók
- segítségével
- rendszerint
- hasznosít
- érvényes
- Változat
- fajta
- eladó
- gyártók
- keresztül
- Áldozat
- vmware
- pénztárca
- háló
- honlapok
- hét
- Mit
- ami
- val vel
- Munka
- dolgozók
- év
- év
- zephyrnet