I ricercatori di sicurezza hanno notato un recente aumento degli attacchi che coinvolgono una nuova sofisticata variante di Jupyter, un ladro di informazioni che prende di mira gli utenti dei browser Chrome, Edge e Firefox almeno dal 2020.
Il malware, noto anche come Yellow Cockatoo, Solarmarker e Polazert, può eseguire backdoor sui computer e raccogliere una serie di informazioni sulle credenziali, tra cui nome del computer, privilegi di amministratore dell'utente, cookie, dati Web, informazioni sul gestore password del browser e altri dati sensibili da sistemi delle vittime, come accessi per portafogli crittografici e app di accesso remoto.
Una minaccia informatica persistente per il furto di dati
I ricercatori del servizio Carbon Black di VMware hanno recentemente gestito il servizio di rilevamento e risposta (MDR). osservato la nuova versione del malware che sfrutta modifiche dei comandi di PowerShell e payload apparentemente legittimi e firmati digitalmente, infettando un numero in costante aumento di sistemi dalla fine di ottobre.
"Le recenti infezioni Jupyter utilizzano più certificati per firmare il malware che, a sua volta, può consentire di concedere fiducia al file dannoso, fornendo l'accesso iniziale al computer della vittima", ha affermato VMware nel suo blog sulla sicurezza questa settimana. "Queste modifiche sembrano migliorare le capacità di evasione [di Jupyter], permettendogli di rimanere discreto."
Morphisec ed BlackBerry - altri due fornitori che hanno precedentemente monitorato Jupyter - hanno identificato il malware come in grado di funzionare come una backdoor a tutti gli effetti. Hanno descritto le sue capacità come includere il supporto per le comunicazioni di comando e controllo (C2), fungere da dropper e caricatore per altri malware, svuotare il codice shell per eludere il rilevamento ed eseguire script e comandi PowerShell.
BlackBerry ha riferito di aver osservato che Jupyter prendeva di mira anche portafogli crittografici, come Ethereum Wallet, MyMonero Wallet e Atomic Wallet, oltre ad accedere a OpenVPN, Remote Desktop Protocol e altre applicazioni di accesso remoto.
Gli operatori del malware hanno utilizzato una varietà di tecniche per distribuire il malware, inclusi reindirizzamenti dei motori di ricerca a siti Web dannosi, download guidati, phishing e avvelenamento da SEO o manipolazione dannosa dei risultati dei motori di ricerca per fornire malware.
Jupyter: come aggirare il rilevamento malware
Negli attacchi più recenti, l'autore della minaccia dietro Jupyter ha utilizzato certificati validi per firmare digitalmente il malware in modo che appaia legittimo agli strumenti di rilevamento del malware. I file hanno nomi progettati per cercare di indurre gli utenti ad aprirli, con titoli come "An-employers-guide-to-group-health-continuation.exe" e "How-To-Make-Edits-On-A-Word-Document-Permanent.exe".
I ricercatori di VMware hanno osservato che il malware effettuava più connessioni di rete al proprio server C2 per decrittografare il payload dell'infostealer e caricarlo in memoria, quasi immediatamente dopo essere atterrato sul sistema vittima.
"Prendendo di mira i browser Chrome, Edge e Firefox, le infezioni Jupyter utilizzano l'avvelenamento SEO e i reindirizzamenti dei motori di ricerca per incoraggiare il download di file dannosi che rappresentano il vettore di attacco iniziale nella catena di attacco", secondo il rapporto di VMware. "Il malware ha dimostrato capacità di raccolta delle credenziali e di comunicazione C2 crittografata utilizzate per esfiltrare dati sensibili."
Un aumento preoccupante degli infostealer
Secondo il fornitore, Jupyter è tra le 10 infezioni più frequenti rilevate da VMware sulle reti client negli ultimi anni. Ciò è coerente con ciò che altri hanno riportato riguardo a aumento netto e preoccupante nell’uso degli infostealer in seguito al passaggio su larga scala al lavoro a distanza in molte organizzazioni dopo l’inizio della pandemia di COVID-19.
Canarino rosso, ad esempio, ha riferito che infostealer come RedLine, Racoon e Vidar sono entrati più volte nelle sue prime 10 liste nel 2022. Molto spesso, il malware arrivava come file di installazione falsi o avvelenati per software legittimo tramite pubblicità dannose o tramite manipolazione SEO. L’azienda ha scoperto che gli aggressori utilizzavano il malware principalmente per cercare di raccogliere credenziali dai lavoratori remoti che consentissero un accesso rapido, persistente e privilegiato alle reti e ai sistemi aziendali.
"Nessun settore è immune dal malware stealer e la diffusione di tale malware è spesso opportunistica, di solito attraverso la pubblicità e la manipolazione SEO", hanno affermato i ricercatori di Red Canary.
Uptycs ha segnalato a aumento simile e preoccupante nella distribuzione infostealer all'inizio di quest'anno. I dati monitorati dall’azienda hanno mostrato che il numero di incidenti in cui un utente malintenzionato ha utilizzato un infostealer è più che raddoppiato nel primo trimestre del 2023, rispetto allo stesso periodo dell’anno scorso. Il fornitore di sicurezza ha scoperto che gli autori delle minacce utilizzavano il malware per rubare nomi utente e password, informazioni sul browser come profili e informazioni di compilazione automatica, informazioni sulla carta di credito, informazioni sul portafoglio crittografico e informazioni di sistema. Secondo Uptycs, gli infostealer più recenti come Rhadamanthys possono anche rubare specificamente i log dalle applicazioni di autenticazione a più fattori. I log contenenti i dati rubati vengono poi venduti nei forum criminali, dove ce n’è una forte richiesta.
“L’esfiltrazione dei dati rubati ha un impatto pericoloso sulle organizzazioni o singoli individui, poiché può essere facilmente venduto sul dark web come punto di accesso iniziale per altri autori di minacce”, hanno avvertito i ricercatori di Uptycs.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant
- :ha
- :È
- :Dove
- 10
- 2020
- 2022
- 2023
- 7
- a
- WRI
- accesso
- Accedendo
- Secondo
- recitazione
- attori
- aggiunta
- Admin
- Pubblicità
- Dopo shavasana, sedersi in silenzio; saluti;
- consentire
- Consentire
- quasi
- anche
- tra
- an
- ed
- appare
- applicazioni
- applicazioni
- SONO
- in giro
- arrivato
- AS
- At
- attacco
- attacchi
- Autenticazione
- porta posteriore
- BE
- stato
- ha iniziato
- dietro
- Nero
- Blog
- del browser
- browser
- Campagna
- Materiale
- funzionalità
- capace
- carbonio
- carta
- certificato
- catena
- Chrome
- cliente
- codice
- Comunicazione
- Comunicazioni
- azienda
- rispetto
- computer
- circa
- Connessioni
- coerente
- di controllo
- Cookies
- COVID-19
- Pandemia di COVID-19
- CREDENZIALI
- Credenziali
- credito
- carta di credito
- Azione Penale
- Cyber
- Pericoloso
- Scuro
- Web Scuro
- dati
- decrypt
- consegnare
- Richiesta
- dimostrato
- schierato
- descritta
- progettato
- tavolo
- rilevato
- rivelazione
- digitalmente
- distribuire
- distribuzione
- raddoppio
- download
- In precedenza
- facilmente
- bordo
- abilitato
- incoraggiare
- crittografato
- motore
- accrescere
- Impresa
- Ethereum
- Portafoglio Ethereum
- evasione
- esecuzione
- esfiltrazione
- falso
- Compila il
- File
- Firefox
- Nome
- i seguenti
- Nel
- forum
- essere trovato
- frequente
- da
- a tutti gli effetti
- funzionamento
- raccogliere
- ottenere
- concesso
- raccolto
- Raccolta
- Avere
- pesante
- HTML
- HTTPS
- identificato
- subito
- Impact
- in
- Compreso
- Aumento
- individui
- industria
- infezioni
- info
- informazioni
- inizialmente
- esempio
- ai miglioramenti
- coinvolgendo
- IT
- SUO
- jpg
- atterraggio
- larga scala
- Cognome
- L'anno scorso
- In ritardo
- meno
- legittimo
- leveraging
- elenchi
- caricare
- caricatore
- macchina
- macchine
- fatto
- principalmente
- Fare
- il malware
- rilevamento di malware
- gestito
- direttore
- manipolazione
- Manipolazione
- molti
- MDR
- Memorie
- modifiche
- Scopri di più
- maggior parte
- autenticazione a più fattori
- multiplo
- Nome
- nomi
- Rete
- reti
- New
- no
- numero
- ottobre
- of
- di frequente
- on
- apertura
- Operatori
- or
- organizzazioni
- Altro
- Altri
- pandemia
- Password
- gestore di password
- Le password
- periodo
- phishing
- Platone
- Platone Data Intelligence
- PlatoneDati
- punto
- PowerShell
- in precedenza
- privilegiato
- privilegi
- Profili
- protocollo
- fornitura
- Trimestre
- Presto
- procione
- recente
- recentemente
- Rosso
- di cui
- rimanere
- a distanza
- accesso remoto
- lavoro a distanza
- lavoratori remoti
- rapporto
- Segnalati
- ricercatori
- risposta
- Risultati
- crescita
- s
- Suddetto
- stesso
- script
- Cerca
- motore di ricerca
- problemi di
- sembrare
- delicata
- SEO
- server
- servizio
- Conchiglia
- spostamento
- ha mostrato
- segno
- firmato
- da
- So
- Software
- venduto
- sofisticato
- in particolare
- diffondere
- costantemente
- rubare
- tale
- supporto
- sistema
- SISTEMI DI TRATTAMENTO
- mira
- tecniche
- di
- che
- Il
- loro
- Li
- poi
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- questo
- questa settimana
- quest'anno
- minaccia
- attori della minaccia
- Attraverso
- volte
- titoli
- a
- strumenti
- top
- Top 10
- preoccupante
- Affidati ad
- prova
- TURNO
- seconda
- su
- uso
- utilizzato
- Utente
- utenti
- utilizzando
- generalmente
- utilizzare
- un valido
- Variante
- varietà
- venditore
- fornitori
- via
- Vittima
- vmware
- Portafoglio
- sito web
- siti web
- settimana
- Che
- quale
- con
- Lavora
- lavoratori
- anno
- anni
- zefiro
