Исследователи безопасности заметили недавнее увеличение количества атак с использованием нового сложного варианта Jupyter, похитителя информации, который нацелен на пользователей браузеров Chrome, Edge и Firefox как минимум с 2020 года.
Вредоносное ПО, также известное как Yellow Cockatoo, Solarmarker и Polazert, может осуществлять бэкдор на компьютерах и собирать различную учетную информацию, включая имя компьютера, права администратора пользователя, файлы cookie, веб-данные, информацию диспетчера паролей браузера и другие конфиденциальные данные из системы-жертвы, такие как логины для крипто-кошельков и приложений удаленного доступа.
Постоянная киберугроза кражи данных
Недавно исследователи из службы управляемого обнаружения и реагирования (MDR) VMware Carbon Black заметил новую версию вредоносных программ, использующих модификации команд PowerShell и легитимные полезные нагрузки с цифровой подписью, с конца октября заражающих постоянно растущее число систем.
«Недавние заражения Jupyter используют несколько сертификатов для подписи своего вредоносного ПО, что, в свою очередь, может позволить предоставить доверие вредоносному файлу, обеспечивая первоначальный доступ к машине жертвы», — сообщила VMware в своем блоге по безопасности на этой неделе. «Эти модификации, похоже, расширяют возможности [Jupyter] уклонения, позволяя ему оставаться незаметным».
Morphisec и BlackBerry — два других поставщика, которые ранее отслеживали Jupyter, — определили, что вредоносное ПО способно функционировать как полноценный бэкдор. Они описали его возможности, включающие поддержку связи командования и управления (C2), работу в качестве загрузчика и загрузчика других вредоносных программ, очистку шелл-кода для уклонения от обнаружения, а также выполнение сценариев и команд PowerShell.
BlackBerry сообщила, что Jupyter также нацелен на криптокошельки, такие как Ethereum Wallet, MyMonero Wallet и Atomic Wallet, в дополнение к доступу к OpenVPN, протоколу удаленного рабочего стола и другим приложениям удаленного доступа.
Операторы вредоносного ПО использовали различные методы для распространения вредоносного ПО, включая перенаправление поисковых систем на вредоносные веб-сайты, попутные загрузки, фишинг и SEO-отравление, а также злонамеренное манипулирование результатами поисковых систем для доставки вредоносного ПО.
Jupyter: обход обнаружения вредоносных программ
В ходе самых последних атак злоумышленник, стоящий за Jupyter, использовал действительные сертификаты для цифровой подписи вредоносного ПО, чтобы оно выглядело легитимным для средств обнаружения вредоносных программ. Файлы имеют имена, призванные обманом заставить пользователей открыть их, с такими заголовками, как «An-employers-guide-to-group-health-continuation.exe(Основной ключ) и Как-внести-редактирование-в-слововом-документе-Permanent.exe».
Исследователи VMware наблюдали, как вредоносное ПО совершает несколько сетевых подключений к своему серверу C2, чтобы расшифровать полезную нагрузку информационного вора и загрузить ее в память практически сразу после попадания в систему жертвы.
«Нацеливаясь на браузеры Chrome, Edge и Firefox, инфекции Jupyter используют SEO-отравление и перенаправление поисковых систем, чтобы стимулировать загрузку вредоносных файлов, что является начальным вектором атаки в цепочке атак», — говорится в отчете VMware. «Вредоносная программа продемонстрировала возможности сбора учетных данных и зашифрованной связи C2, используемые для кражи конфиденциальных данных».
Тревожный рост числа инфокрадов
По данным поставщика, Jupyter входит в десятку наиболее частых заражений, обнаруженных VMware в клиентских сетях за последние годы. Это согласуется с тем, что другие сообщили о резкий и тревожный рост в использовании инфокрадов после масштабного перехода многих организаций на удаленную работу после начала пандемии COVID-19.
Красная канарейка, например, сообщила, что в 10 году такие инфокрады, как RedLine, Racoon и Vidar, несколько раз попадали в ее топ-2022 списков. Чаще всего вредоносное ПО попадало в виде поддельных или отравленных установочных файлов законного программного обеспечения через вредоносную рекламу или манипуляции с SEO. Компания обнаружила, что злоумышленники использовали вредоносное ПО в основном для того, чтобы попытаться получить учетные данные от удаленных работников, которые обеспечили бы быстрый, постоянный и привилегированный доступ к корпоративным сетям и системам.
«Ни одна отрасль не застрахована от вредоносных программ-воров, и распространение таких вредоносных программ часто носит оппортунистический характер, обычно посредством рекламы и SEO-манипуляций», — говорят исследователи Red Canary.
Компания Uptycs сообщила о аналогичное и тревожное увеличение в распространении инфостилеров в начале этого года. Данные, которые отслеживала компания, показали, что количество инцидентов, в которых злоумышленник использовал инфокрады, более чем удвоилось в первом квартале 2023 года по сравнению с аналогичным периодом прошлого года. Поставщик средств безопасности обнаружил, что злоумышленники использовали вредоносное ПО для кражи имен пользователей и паролей, информации браузера, такой как профили и данные автозаполнения, информации кредитной карты, информации криптокошелька и системной информации. По данным Uptycs, новые инфокрады, такие как Rhadamanthys, также могут специально воровать журналы из приложений многофакторной аутентификации. Журналы, содержащие украденные данные, затем продаются на криминальных форумах, где на них имеется большой спрос.
«Эксфильтрация украденных данных имеет опасное воздействие на организации или частным лицам, поскольку его можно легко продать в темной сети в качестве начальной точки доступа для других субъектов угроз», — предупредили исследователи Uptycs.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant
- :имеет
- :является
- :куда
- 10
- 2020
- 2022
- 2023
- 7
- a
- О нас
- доступ
- доступа
- По
- действующий
- актеры
- дополнение
- Администратор
- Реклама
- После
- позволять
- Позволяющий
- почти
- причислены
- среди
- an
- и
- появляется
- Приложения
- Программы
- МЫ
- около
- прибывший
- AS
- At
- атаковать
- нападки
- Аутентификация
- задняя дверь
- BE
- было
- начал
- за
- Черный
- Блог
- браузер
- браузеры
- Кампания
- CAN
- возможности
- способный
- углерод
- карта
- сертификаты
- цепь
- Chrome
- клиент
- код
- Связь
- Связь
- Компания
- сравненный
- компьютер
- в связи с этим
- Коммутация
- последовательный
- контроль
- печенье
- Covid-19.
- COVID-19 пандемия
- ПОЛНОМОЧИЯ
- Полномочия
- кредит
- кредитная карта
- Криминальное
- кибер-
- опасно
- темно
- Dark Web
- данным
- Decrypt
- доставить
- Спрос
- убивают
- развернуть
- описано
- предназначенный
- компьютера
- обнаруженный
- обнаружение
- цифровой
- распространять
- распределение
- удвоившись
- загрузок
- Ранее
- легко
- Edge
- включен
- поощрять
- зашифрованный
- Двигатель
- повышать
- Предприятие
- Эфириума
- Эфириум кошелек
- уклонение
- проведение
- эксфильтрации
- не настоящие
- Файл
- Файлы
- Firefox
- Во-первых,
- после
- Что касается
- форумы
- найденный
- частое
- от
- полноценный
- функционирование
- собирать
- получающий
- предоставленный
- урожай
- Сбор урожая
- Есть
- тяжелый
- HTML
- HTTPS
- идентифицированный
- немедленно
- Влияние
- in
- В том числе
- Увеличение
- лиц
- промышленность
- инфекции
- info
- информация
- начальный
- пример
- в
- с участием
- IT
- ЕГО
- JPG
- посадка
- крупномасштабный
- Фамилия
- В прошлом году
- Поздно
- наименее
- законный
- Используя
- Списки
- загрузка
- загрузчик
- машина
- Продукция
- сделанный
- в основном
- Создание
- вредоносных программ
- обнаружение вредоносных программ
- управляемого
- менеджер
- манипуляционная
- Манипуляция
- многих
- MDR
- Память
- изменения
- БОЛЕЕ
- самых
- многофакторная аутентификация
- с разными
- имя
- имена
- сеть
- сетей
- Новые
- нет
- номер
- октябрь
- of
- .
- on
- открытие
- Операторы
- or
- организации
- Другое
- Другое
- пандемия
- Пароль
- Password Manager
- пароли
- период
- фишинг
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Точка
- PowerShell
- предварительно
- привилегированный
- привилегии
- Профили
- протокол
- обеспечение
- Четверть
- САЙТ
- енот
- последний
- недавно
- Red
- назвало
- оставаться
- удаленные
- удаленный доступ
- remote work
- удаленные работники
- отчету
- Сообщается
- исследователи
- ответ
- Итоги
- повышение
- s
- Сказал
- то же
- скрипты
- Поиск
- Поисковая система
- безопасность
- казаться
- чувствительный
- поисковая оптимизация
- сервер
- обслуживание
- Оболочка
- сдвиг
- показал
- подпись
- подписанный
- с
- So
- Software
- проданный
- сложный
- конкретно
- распространение
- неуклонно
- украли
- такие
- поддержка
- система
- системы
- направлены
- снижения вреда
- чем
- который
- Ассоциация
- их
- Их
- тогда
- Там.
- Эти
- они
- этой
- На этой неделе
- В этом году
- угроза
- актеры угрозы
- Через
- раз
- позиций
- в
- инструменты
- топ
- Топ-10
- тревожный
- Доверие
- стараться
- ОЧЕРЕДЬ
- два
- на
- использование
- используемый
- Информация о пользователе
- пользователей
- через
- обычно
- использовать
- действительный
- Вариант
- разнообразие
- продавец
- поставщики
- с помощью
- Жертва
- VMware
- Кошелек
- Web
- веб-сайты
- неделя
- Что
- , которые
- Работа
- рабочие
- год
- лет
- зефирнет