Unnvikende Jupyter Infostealer-kampanje viser farlig variant

Sikkerhetsforskere har oppdaget en nylig økning i angrep som involverer en sofistikert ny variant av Jupyter, en informasjonstyver som har vært rettet mot brukere av Chrome, Edge og Firefox-nettlesere siden minst 2020.

Skadevaren, også referert til som Yellow Cockatoo, Solarmarker og Polazert, kan bakdørsmaskiner og høste en rekke legitimasjonsinformasjon, inkludert datamaskinnavn, brukerens administratorrettigheter, informasjonskapsler, nettdata, informasjon om nettleserpassordbehandling og andre sensitive data fra offersystemer – for eksempel pålogginger for krypto-lommebøker og fjerntilgangsapper.

En vedvarende cybertrussel som stjeler data

Forskere fra VMwares Carbon Black administrerte MDR-tjenesten (deteksjon og respons). observerte den nye versjonen av skadelig programvare som utnytter PowerShell-kommandomodifikasjoner og legitimt utseende, digitalt signerte nyttelaster, og infiserer et stadig økende antall systemer siden slutten av oktober.

"De nylige Jupyter-infeksjonene bruker flere sertifikater for å signere deres skadevare, som igjen kan tillate tillit til den ondsinnede filen, og gi førstegangstilgang til offerets maskin," sa VMware i sin sikkerhetsblogg denne uken. "Disse modifikasjonene ser ut til å forbedre [Jupyters] unnvikelsesevner, slik at de forblir upåfallende."

Morphisec og Blackberry — to andre leverandører som tidligere har sporet Jupyter — har identifisert skadevaren som i stand til å fungere som en fullverdig bakdør. De har beskrevet dens evner som å inkludere støtte for kommando- og kontrollkommunikasjon (C2), fungere som en dropper og laster for annen skadelig programvare, hule ut skallkode for å unngå deteksjon og å utføre PowerShell-skript og kommandoer.

BlackBerry har rapportert å observere Jupyter også rettet mot krypto-lommebøker, som Ethereum Wallet, MyMonero Wallet og Atomic Wallet, i tillegg til å få tilgang til OpenVPN, Remote Desktop Protocol og andre fjerntilgangsapplikasjoner.

Operatørene av skadelig programvare har brukt en rekke teknikker for å distribuere skadelig programvare, inkludert omdirigeringer av søkemotorer til ondsinnede nettsteder, drive-by-nedlastinger, phishing og SEO-forgiftning – eller ondsinnet manipulering av søkemotorresultater for å levere skadelig programvare.

Jupyter: Komme rundt Skadevareoppdagelse

I de siste angrepene har trusselaktøren bak Jupyter brukt gyldige sertifikater for digital signering av skadevaren slik at den fremstår som legitim for verktøy for oppdagelse av skadelig programvare. Filene har navn designet for å prøve å lure brukere til å åpne dem, med titler som "An-employers-guide-to-group-health-continuation.exe"Og"Hvordan-å-gjøre-redigeringer-på-et-word-dokument-permanent.exe".

VMware-forskere observerte skadelig programvare som opprettet flere nettverksforbindelser til C2-serveren for å dekryptere infostealerens nyttelast og laste den inn i minnet, nesten umiddelbart etter landing på et offersystem.

"Jupyter-infeksjoner retter seg mot nettlesere Chrome, Edge og Firefox, og bruker SEO-forgiftning og omdirigeringer av søkemotorer for å oppmuntre til ondsinnede filnedlastinger som er den første angrepsvektoren i angrepskjeden," ifølge VMwares rapport. "Den skadelige programvaren har demonstrert innhenting av legitimasjon og krypterte C2-kommunikasjonsevner brukt til å eksfiltrere sensitive data."

En urovekkende økning i informasjonstelere

Jupyter er blant de 10 mest hyppige infeksjonene som VMware har oppdaget på klientnettverk de siste årene, ifølge leverandøren. Det stemmer overens med hva andre har rapportert om a skarp og bekymringsfull stigning i bruken av infotyvere etter det storstilte skiftet til fjernarbeid i mange organisasjoner etter at COVID-19-pandemien startet.

Rød Kanari, for eksempel, rapporterte at infostelere som RedLine, Racoon og Vidar kom på topp 10-listene sine flere ganger i 2022. Oftest kom skadevaren som falske eller forgiftede installasjonsfiler for legitim programvare via ondsinnede annonser eller gjennom SEO-manipulasjon. Selskapet fant angripere som hovedsakelig brukte skadevare for å prøve å samle legitimasjon fra eksterne arbeidere som muliggjorde rask, vedvarende og privilegert tilgang til bedriftsnettverk og -systemer.

"Ingen industri er immun mot tyverisk skadelig programvare, og spredningen av slik skadevare er ofte opportunistisk, vanligvis gjennom reklame og SEO-manipulasjon," sa Red Canary-forskere.

Uptycs rapporterte en lignende og urovekkende økning i infostealer distribusjon tidligere i år. Data som selskapet sporet viste antall hendelser der en angriper satte inn en infotyver mer enn en dobling i første kvartal 2023, sammenlignet med samme periode i fjor. Sikkerhetsleverandøren fant trusselaktører som brukte skadelig programvare for å stjele brukernavn og passord, nettleserinformasjon som profiler og autofyllinformasjon, kredittkortinformasjon, kryptolommebokinformasjon og systeminformasjon. Nyere infostelere som Rhadamanthys kan også spesifikt stjele logger fra multifaktorautentiseringsapplikasjoner, ifølge Uptycs. Logger som inneholder de stjålne dataene selges deretter på kriminelle fora, hvor det er stor etterspørsel etter det.

"Eksfiltrering av stjålne data har en farlig innvirkning på organisasjoner eller enkeltpersoner, siden det lett kan selges på det mørke nettet som et første tilgangspunkt for andre trusselaktører,» advarte Uptycs-forskere.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant