Cercetătorii în domeniul securității au observat o creștere recentă a atacurilor care implică o nouă variantă sofisticată a Jupyter, un furt de informații care vizează utilizatorii browserelor Chrome, Edge și Firefox din cel puțin 2020.
Malware-ul, denumit și Yellow Cockatoo, Solarmarker și Polazert, poate face ușă în spate mașinile și poate colecta o varietate de informații de autentificare, inclusiv numele computerului, privilegiile de administrator ale utilizatorului, cookie-uri, date web, informații despre managerul de parole ale browserului și alte date sensibile de la sisteme victime — cum ar fi autentificarea pentru cripto-portofele și aplicațiile de acces la distanță.
O amenințare cibernetică persistentă de furt de date
Cercetătorii de la serviciul de detectare și răspuns gestionat (MDR) de la VMware Carbon Black au recent observat noua versiune a malware-ului care folosește modificări ale comenzilor PowerShell și încărcături utile semnate digital cu aspect legitim, infectând un număr în creștere constantă de sisteme de la sfârșitul lunii octombrie.
„Recentele infecții cu Jupyter utilizează mai multe certificate pentru a-și semna malware-ul care, la rândul lor, poate permite acordarea de încredere fișierului rău intenționat, oferind acces inițial la computerul victimei”, a spus VMware pe blogul său de securitate săptămâna aceasta. „Aceste modificări par să îmbunătățească capacitățile de evaziune [Jupyter], permițându-i să rămână discrete.”
Morphisec și BlackBerry — alți doi furnizori care au urmărit anterior Jupyter — au identificat malware-ul ca fiind capabil să funcționeze ca o ușă din spate cu drepturi depline. Ei au descris capacitățile sale ca incluzând suport pentru comunicații de comandă și control (C2), acționând ca un dropper și încărcător pentru alte programe malware, scoaterea codului shell pentru a evita detectarea și executarea scripturilor și comenzilor PowerShell.
BlackBerry a raportat că observă că Jupyter vizează și portofele cripto, cum ar fi Ethereum Wallet, MyMonero Wallet și Atomic Wallet, pe lângă accesarea OpenVPN, Remote Desktop Protocol și alte aplicații de acces la distanță.
Operatorii malware-ului au folosit o varietate de tehnici pentru a distribui malware-ul, inclusiv redirecționări ale motoarelor de căutare către site-uri web rău intenționate, descărcări drive-by, phishing și otrăvire SEO – sau manipularea intenționată a rezultatelor motoarelor de căutare pentru a furniza malware.
Jupyter: Deplasarea în jurul detectării programelor malware
În cele mai recente atacuri, actorul amenințărilor din spatele Jupyter a folosit certificate valide pentru a semna digital malware-ul, astfel încât acesta să pară legitim pentru instrumentele de detectare a malware. Fișierele au nume concepute pentru a încerca să păcălească utilizatorii să le deschidă, cu titluri precum „Un-ghid-angajator-pentru-grup-sănătate-continuare.exe"Și"Cum-Se-Efectuează-Editări-Pe-un-Document-Word-Permanent.exe".
Cercetătorii VMware au observat malware-ul făcând mai multe conexiuni de rețea la serverul său C2 pentru a decripta încărcătura utilă infostealer și a o încărca în memorie, aproape imediat după ce a aterizat pe un sistem victimă.
„Vizind browserele Chrome, Edge și Firefox, infecțiile Jupyter folosesc otrăvirea SEO și redirecționările motoarelor de căutare pentru a încuraja descărcările de fișiere rău intenționate care sunt vectorul inițial de atac în lanțul de atac”, potrivit raportului VMware. „Malware-ul a demonstrat că colectarea de acreditări și capacitățile de comunicare C2 criptate sunt folosite pentru a exfiltra date sensibile.”
O creștere tulburătoare a Infostealers
Jupyter se numără printre primele 10 cele mai frecvente infecții pe care VMware le-a detectat pe rețelele clienților în ultimii ani, potrivit furnizorului. Acest lucru este în concordanță cu ceea ce alții au raportat despre a creştere bruscă şi îngrijorătoare în utilizarea furtorilor de informații în urma trecerii pe scară largă la munca de la distanță în multe organizații după începutul pandemiei de COVID-19.
Canar roșu, de exemplu, a raportat că furatorii de informații precum RedLine, Racoon și Vidar și-au făcut primele 10 liste de mai multe ori în 2022. Cel mai adesea, malware-ul a ajuns ca fișiere de instalare false sau otrăvite pentru software legitim prin reclame rău intenționate sau prin manipulare SEO. Compania a găsit atacatori care foloseau malware-ul în principal pentru a încerca să adune acreditări de la lucrătorii de la distanță care au permis accesul rapid, persistent și privilegiat la rețelele și sistemele întreprinderii.
„Nici o industrie nu este imună la malware-ul furat, iar răspândirea unui astfel de malware este adesea oportunistă, de obicei prin publicitate și manipulare SEO”, au spus cercetătorii Red Canary.
Uptycs a raportat a creştere similară şi tulburătoare în distribuția infostealer la începutul acestui an. Datele pe care compania le-a urmărit au arătat că numărul de incidente în care un atacator a desfășurat un infostealer s-a mai mult decât dublu în primul trimestru al anului 2023, comparativ cu aceeași perioadă a anului trecut. Furnizorul de securitate a găsit actori de amenințări care folosesc malware pentru a fura nume de utilizator și parole, informații despre browser, cum ar fi profiluri și informații de completare automată, informații despre cardul de credit, informații despre portofel criptografic și informații despre sistem. Informații mai noi, cum ar fi Rhadamanthys, pot, de asemenea, să fure în mod specific jurnalele din aplicațiile de autentificare multifactorială, potrivit Uptycs. Jurnalele care conțin datele furate sunt apoi vândute pe forumuri criminale, unde există o cerere mare pentru acestea.
„Exfiltrarea datelor furate are o impact periculos asupra organizațiilor sau persoane fizice, deoarece poate fi vândut cu ușurință pe dark web ca punct de acces inițial pentru alți actori amenințări”, au avertizat cercetătorii Uptycs.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant
- :are
- :este
- :Unde
- 10
- 2020
- 2022
- 2023
- 7
- a
- Despre Noi
- acces
- accesarea
- Conform
- actorie
- actori
- plus
- admin
- Promovare
- După
- permite
- Permiterea
- aproape
- de asemenea
- printre
- an
- și
- apare
- aplicatii
- Apps
- SUNT
- în jurul
- a sosit
- AS
- At
- ataca
- Atacuri
- Autentificare
- ușă din dos
- BE
- fost
- început
- în spatele
- Negru
- Blog
- browser-ul
- browsere
- Campanie
- CAN
- capacități
- capabil
- carbon
- card
- Certificatele
- lanţ
- Chrome
- client
- cod
- Comunicare
- Comunicații
- companie
- comparație
- calculator
- referitor la
- Conexiuni
- consistent
- Control
- fursecuri
- Covid-19
- Pandemie COVID-19
- CREDENTIALĂ
- scrisori de acreditare
- credit
- card de credit
- Penal
- Cyber
- Periculos
- Întuneric
- Web întunecat
- de date
- decriptaţi
- livra
- Cerere
- demonstrat
- dislocate
- descris
- proiectat
- desktop
- detectat
- Detectare
- digital
- distribui
- distribuire
- dublare
- download-uri
- Mai devreme
- cu ușurință
- Margine
- activat
- încuraja
- criptate
- Motor
- spori
- Afacere
- ethereum
- Portofel Ethereum
- evaziune
- executând
- exfiltrațiile
- fals
- Fișier
- Fişiere
- Firefox
- First
- următor
- Pentru
- forumuri
- găsit
- frecvent
- din
- cu drepturi depline
- funcționare
- aduna
- obtinerea
- acordate
- recoltare
- recoltat
- Avea
- greu
- HTML
- HTTPS
- identificat
- imediat
- Impactul
- in
- Inclusiv
- Crește
- persoane fizice
- industrie
- infecţii
- info
- informații
- inițială
- instanță
- în
- implicând
- IT
- ESTE
- jpg
- aterizare
- pe scară largă
- Nume
- Anul trecut
- Târziu
- cel mai puțin
- legitim
- efectului de pârghie
- liste
- încărca
- încărcător
- maşină
- Masini
- făcut
- mai ales
- Efectuarea
- malware
- detectarea programelor malware
- gestionate
- manager
- manipulant
- Manipulare
- multe
- MDR
- Memorie
- modificările aduse
- mai mult
- cele mai multe
- autentificare multifactor
- multiplu
- nume
- nume
- reţea
- rețele
- Nou
- Nu.
- număr
- octombrie
- of
- de multe ori
- on
- de deschidere
- Operatorii
- or
- organizații
- Altele
- Altele
- pandemie
- Parolă
- manager de parole
- Parolele
- perioadă
- Phishing
- Plato
- Informații despre date Platon
- PlatoData
- Punct
- PowerShell
- în prealabil
- privilegiat
- privilegii
- Profiluri
- protocol
- furnizarea
- Trimestru
- Rapid
- raton
- recent
- recent
- Roșu
- menționat
- rămâne
- la distanta
- acces de la distanță
- munca la distanță
- lucrători la distanță
- raportează
- Raportat
- cercetători
- răspuns
- REZULTATE
- în creștere
- s
- Said
- acelaşi
- script-uri
- Caută
- motor de cautare
- securitate
- părea
- sensibil
- SEO
- serverul
- serviciu
- Coajă
- schimbare
- a arătat
- semna
- semnat
- întrucât
- So
- Software
- vândut
- sofisticat
- specific
- răspândire
- în mod constant
- furate
- astfel de
- a sustine
- sistem
- sisteme
- direcționare
- tehnici de
- decât
- acea
- lor
- Lor
- apoi
- Acolo.
- Acestea
- ei
- acest
- în această săptămână
- în acest an
- amenințare
- actori amenințători
- Prin
- ori
- titluri
- la
- Unelte
- top
- Top 10
- frământă
- Încredere
- încerca
- ÎNTORCĂ
- Două
- pe
- utilizare
- utilizat
- Utilizator
- utilizatorii
- folosind
- obișnuit
- folosi
- valabil
- Variantă
- varietate
- vânzător
- furnizori
- de
- Victimă
- VMware
- Portofel
- web
- site-uri web
- săptămână
- Ce
- care
- cu
- Apartamente
- muncitorii
- an
- ani
- zephyrnet
