Kampanye Infostealer Jupyter yang Mengelak Menampilkan Varian Berbahaya

Peneliti keamanan telah melihat peningkatan serangan baru-baru ini yang melibatkan varian baru Jupyter yang canggih, pencuri informasi yang telah menargetkan pengguna browser Chrome, Edge, dan Firefox setidaknya sejak tahun 2020.

Malware tersebut, juga disebut sebagai Yellow Cockatoo, Solarmarker, dan Polazert, dapat melakukan backdoor pada mesin dan mengumpulkan berbagai informasi kredensial, termasuk nama komputer, hak istimewa admin pengguna, cookie, data Web, informasi pengelola kata sandi browser, dan data sensitif lainnya dari sistem korban — seperti login untuk dompet kripto dan aplikasi akses jarak jauh.

Ancaman Siber yang Mencuri Data secara Terus-menerus

Para peneliti dari layanan deteksi dan respons terkelola Carbon Black (MDR) milik VMware baru-baru ini mengamati versi baru malware yang memanfaatkan modifikasi perintah PowerShell dan muatan yang tampak sah dan ditandatangani secara digital, menginfeksi sistem dalam jumlah yang terus meningkat sejak akhir Oktober.

“Infeksi Jupyter baru-baru ini menggunakan banyak sertifikat untuk menandatangani malware mereka yang, pada gilirannya, memungkinkan kepercayaan diberikan pada file berbahaya tersebut, memberikan akses awal ke mesin korban,” kata VMware dalam blog keamanannya minggu ini. “Modifikasi ini tampaknya meningkatkan kemampuan penghindaran [Jupyter], sehingga membuatnya tetap tidak mencolok.”

Morfisek dan BlackBerry — dua vendor lain yang sebelumnya telah melacak Jupyter — telah mengidentifikasi malware tersebut mampu berfungsi sebagai pintu belakang yang lengkap. Mereka menggambarkan kemampuannya termasuk dukungan untuk komunikasi perintah dan kontrol (C2), bertindak sebagai dropper dan loader untuk malware lainnya, melubangi kode shell untuk menghindari deteksi, dan mengeksekusi skrip dan perintah PowerShell.

BlackBerry telah melaporkan pengamatan Jupyter juga menargetkan dompet kripto, seperti Ethereum Wallet, MyMonero Wallet, dan Atomic Wallet, selain mengakses OpenVPN, Remote Desktop Protocol, dan aplikasi akses jarak jauh lainnya.

Operator malware telah menggunakan berbagai teknik untuk mendistribusikan malware, termasuk pengalihan mesin pencari ke situs web berbahaya, unduhan drive-by, phishing, dan keracunan SEO — atau memanipulasi hasil mesin pencari dengan jahat untuk mengirimkan malware.

Jupyter: Mengatasi Deteksi Malware

Dalam serangan terbaru, pelaku ancaman di balik Jupyter telah menggunakan sertifikat yang valid untuk menandatangani malware secara digital sehingga tampak sah bagi alat pendeteksi malware. File tersebut memiliki nama yang dirancang untuk mencoba mengelabui pengguna agar membukanya, dengan judul seperti “An-panduan-majikan-untuk-kesehatan-kelompok-lanjutan.exe"Dan"Cara-Membuat-Mengedit-Pada-A-Word-Dokumen-Permanen.exe".

Peneliti VMware mengamati malware tersebut membuat beberapa koneksi jaringan ke server C2 untuk mendekripsi muatan infostealer dan memuatnya ke dalam memori, segera setelah mendarat di sistem korban.

“Menargetkan browser Chrome, Edge, dan Firefox, infeksi Jupyter menggunakan keracunan SEO dan pengalihan mesin pencari untuk mendorong pengunduhan file berbahaya yang merupakan vektor serangan awal dalam rantai serangan,” menurut laporan VMware. “Malware ini telah menunjukkan pengambilan kredensial dan kemampuan komunikasi C2 terenkripsi yang digunakan untuk mengekstrak data sensitif.”

Peningkatan Infostealer yang meresahkan

Jupyter termasuk di antara 10 infeksi paling sering yang terdeteksi oleh VMware di jaringan klien dalam beberapa tahun terakhir, menurut vendor. Hal ini konsisten dengan apa yang dilaporkan orang lain tentang a kenaikan yang tajam dan memprihatinkan dalam penggunaan pencuri informasi menyusul peralihan besar-besaran ke pekerjaan jarak jauh di banyak organisasi setelah pandemi COVID-19 dimulai.

Canary Merah, misalnya, melaporkan bahwa pencuri info seperti RedLine, Racoon, dan Vidar masuk dalam daftar 10 teratas beberapa kali pada tahun 2022. Seringkali, malware tersebut datang sebagai file penginstal palsu atau beracun untuk perangkat lunak yang sah melalui iklan berbahaya atau melalui manipulasi SEO. Perusahaan menemukan penyerang menggunakan malware ini terutama untuk mencoba mengumpulkan kredensial dari pekerja jarak jauh yang memungkinkan akses cepat, persisten, dan istimewa ke jaringan dan sistem perusahaan.

“Tidak ada industri yang kebal terhadap malware pencuri dan penyebaran malware tersebut seringkali bersifat oportunistik, biasanya melalui periklanan dan manipulasi SEO,” kata peneliti Red Canary.

Uptycs melaporkan a peningkatan serupa dan meresahkan dalam distribusi infostealer awal tahun ini. Data yang dilacak perusahaan menunjukkan jumlah insiden di mana penyerang menyebarkan infostealer meningkat lebih dari dua kali lipat pada kuartal pertama tahun 2023, dibandingkan periode yang sama tahun lalu. Vendor keamanan menemukan pelaku ancaman menggunakan malware untuk mencuri nama pengguna dan kata sandi, informasi browser seperti informasi profil dan pengisian otomatis, informasi kartu kredit, info dompet kripto, dan informasi sistem. Pencuri info yang lebih baru seperti Rhadamanthys juga dapat secara khusus mencuri log dari aplikasi otentikasi multifaktor, menurut Uptycs. Log yang berisi data yang dicuri kemudian dijual di forum kriminal, yang permintaannya sangat besar.

“Eksfiltrasi data yang dicuri memiliki a dampak berbahaya pada organisasi atau individu, karena dapat dengan mudah dijual di web gelap sebagai titik akses awal bagi pelaku ancaman lainnya,” peneliti Uptycs memperingatkan.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant