Varnostni raziskovalci so opazili nedavno povečanje napadov, ki vključujejo sofisticirano novo različico Jupyterja, krajca informacij, ki že vsaj od leta 2020 cilja na uporabnike brskalnikov Chrome, Edge in Firefox.
Zlonamerna programska oprema, imenovana tudi Yellow Cockatoo, Solarmarker in Polazert, lahko naredi stranske stroje in pridobi različne podatke o poverilnicah, vključno z imenom računalnika, uporabniškimi skrbniškimi pravicami, piškotki, spletnimi podatki, informacijami o upravitelju gesel brskalnika in drugimi občutljivimi podatki iz sistemi žrtev — kot so prijave za kripto denarnice in aplikacije za oddaljeni dostop.
Vztrajna kibernetska grožnja, ki krade podatke
Raziskovalci iz VMware-ove storitve Carbon Black upravljanega odkrivanja in odzivanja (MDR) so pred kratkim opazil novo različico zlonamerne programske opreme, ki izkorišča modifikacije ukazov PowerShell in legitimne, digitalno podpisane vsebine, ki od konca oktobra okužujejo stalno naraščajoče število sistemov.
"Nedavne okužbe z Jupyterjem uporabljajo več potrdil za podpisovanje njihove zlonamerne programske opreme, ki lahko nato omogoči zaupanje zlonamerni datoteki, kar zagotavlja začetni dostop do žrtvinega računalnika," je ta teden zapisal VMware v svojem varnostnem blogu. "Zdi se, da te spremembe povečujejo [Jupyterjeve] zmožnosti izogibanja, kar mu omogoča, da ostane neopazen."
Morfisec in BlackBerry — dva druga prodajalca, ki sta predhodno sledila Jupyterju — sta ugotovila, da zlonamerna programska oprema lahko deluje kot popolna stranska vrata. Njegove zmogljivosti so opisali tako, da vključujejo podporo za komunikacije ukazov in nadzora (C2), delujejo kot kapalka in nalagalnik za drugo zlonamerno programsko opremo, izdolbljajo lupinsko kodo, da se izognejo zaznavanju, in izvajajo skripte in ukaze PowerShell.
BlackBerry je poročal o opazovanju Jupyterja, ki cilja tudi na kripto denarnice, kot so Ethereum Wallet, MyMonero Wallet in Atomic Wallet, poleg dostopa do OpenVPN, Remote Desktop Protocol in drugih aplikacij za oddaljeni dostop.
Upravljavci zlonamerne programske opreme so uporabili različne tehnike za distribucijo zlonamerne programske opreme, vključno s preusmeritvami iskalnikov na zlonamerna spletna mesta, naključnimi prenosi, lažnim predstavljanjem in zastrupljanjem z SEO — ali zlonamerno manipulacijo rezultatov iskalnikov za zagotavljanje zlonamerne programske opreme.
Jupyter: Kako se izogniti zaznavanju zlonamerne programske opreme
V zadnjih napadih je akter grožnje, ki stoji za Jupyterjem, uporabljal veljavna potrdila za digitalno podpisovanje zlonamerne programske opreme, tako da je videti legitimna orodjem za odkrivanje zlonamerne programske opreme. Datoteke imajo imena, zasnovana tako, da poskušajo uporabnike zavesti, da jih odprejo, z naslovi, kot je »An-employers-guide-to-group-health-continuation.exe"In"How-To-Make-Edits-On-A-Word-Document-Permanent.exe".
Raziskovalci VMware so opazili, da je zlonamerna programska oprema vzpostavljala več omrežnih povezav s svojim strežnikom C2, da bi dešifrirala koristni tovor infostealerja in ga naložila v pomnilnik, skoraj takoj po pristanku v sistemu žrtve.
"Okužbe Jupyter ciljajo na brskalnike Chrome, Edge in Firefox in uporabljajo zastrupitev SEO in preusmeritve iskalnikov, da spodbudijo zlonamerne prenose datotek, ki so začetni vektor napadov v verigi napadov," piše v poročilu VMware. "Zlonamerna programska oprema je pokazala zbiranje poverilnic in šifrirane komunikacijske zmogljivosti C2, ki se uporabljajo za izločanje občutljivih podatkov."
Zaskrbljujoče povečanje števila kradljivcev informacij
Po navedbah prodajalca je Jupyter med 10 najpogostejšimi okužbami, ki jih je VMware v zadnjih letih zaznal v odjemalskih omrežjih. To je v skladu s tem, kar so drugi poročali o a oster in zaskrbljujoč vzpon pri uporabi infostealers po obsežnem prehodu na delo na daljavo v številnih organizacijah po začetku pandemije COVID-19.
Rdeči kanarček, je na primer poročal, da so se infostealers, kot so RedLine, Racoon in Vidar, večkrat uvrstili na seznam 10 najboljših v letu 2022. Najpogosteje je zlonamerna programska oprema prispela kot ponarejene ali zastrupljene namestitvene datoteke za zakonito programsko opremo prek zlonamernih oglasov ali manipulacije SEO. Podjetje je odkrilo, da napadalci uporabljajo zlonamerno programsko opremo predvsem za poskus zbiranja poverilnic od oddaljenih delavcev, ki omogočajo hiter, trajen in privilegiran dostop do omrežij in sistemov podjetja.
"Nobena panoga ni imuna na zlonamerno programsko opremo in širjenje takšne zlonamerne programske opreme je pogosto oportunistično, običajno z oglaševanjem in SEO manipulacijo," so povedali raziskovalci Red Canary.
Uptycs je poročal o a podobno in zaskrbljujoče povečanje v distribuciji infostealerja v začetku tega leta. Podatki, ki jim je družba sledila, so pokazali, da se je število incidentov, v katerih je napadalec uporabil infostealer, več kot podvojilo v prvem četrtletju leta 2023 v primerjavi z enakim obdobjem lani. Prodajalec varnosti je našel akterje groženj, ki zlonamerno programsko opremo uporabljajo za krajo uporabniških imen in gesel, informacij o brskalniku, kot so profili in informacije o samodejnem izpolnjevanju, informacije o kreditni kartici, informacije o kripto denarnici in sistemske informacije. Novejši infostealers, kot je Rhadamanthys, lahko prav tako posebej ukradejo dnevnike iz večfaktorskih aplikacij za preverjanje pristnosti, pravi Uptycs. Dnevniki z ukradenimi podatki se nato prodajo na kriminalnih forumih, kjer je po njih veliko povpraševanja.
»Izločanje ukradenih podatkov ima a nevaren vpliv na organizacije ali posamezniki, saj ga je mogoče enostavno prodati na temnem spletu kot začetno dostopno točko za druge akterje groženj,« so opozorili raziskovalci Uptycs.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant
- :ima
- : je
- :kje
- 10
- 2020
- 2022
- 2023
- 7
- a
- O meni
- dostop
- Dostop
- Po
- igrati
- akterji
- Poleg tega
- admin
- Oglaševanje
- po
- omogočajo
- Dovoli
- skoraj
- Prav tako
- med
- an
- in
- se prikaže
- aplikacije
- aplikacije
- SE
- okoli
- prispeli
- AS
- At
- napad
- Napadi
- Preverjanje pristnosti
- Zakulisni
- BE
- bilo
- začel
- zadaj
- črna
- Blog
- brskalnik
- brskalniki
- Akcija
- CAN
- Zmogljivosti
- lahko
- ogljika
- kartice
- Potrdila
- verige
- Krom
- stranke
- Koda
- Komunikacija
- Communications
- podjetje
- v primerjavi z letom
- računalnik
- v zvezi
- povezave
- dosledno
- nadzor
- piškotki
- Covid-19
- Pandemija COVID-19
- POVERILNICA
- Mandatno
- kredit
- kreditne kartice
- kazenska
- cyber
- Nevarno
- Temnomodra
- Dark Web
- datum
- Dešifriraj
- poda
- Povpraševanje
- Dokazano
- razporejeni
- opisano
- zasnovan
- desktop
- Zaznali
- Odkrivanje
- digitalno
- distribuirati
- distribucija
- podvojitev
- prenosov
- prej
- enostavno
- Edge
- omogočena
- spodbujanje
- šifriran
- Motor
- okrepi
- Podjetje
- ethereum
- Denarnica Ethereum
- utaje
- izvršitve
- eksfiltracija
- ponaredek
- file
- datoteke
- Firefox
- prva
- po
- za
- forumi
- je pokazala,
- pogosto
- iz
- polnopravni
- delovanje
- zbiranje
- pridobivanje
- odobreno
- žetev
- Obiranje
- Imajo
- težka
- HTML
- HTTPS
- identificirati
- takoj
- vpliv
- in
- Vključno
- Povečajte
- posamezniki
- Industrija
- okužbe
- info
- Podatki
- začetna
- primer
- v
- vključujejo
- IT
- ITS
- jpg
- pristanek
- obsežne
- Zadnja
- Lansko leto
- Pozen
- vsaj
- legitimno
- vzvod
- seznami
- obremenitev
- nakladač
- stroj
- Stroji
- je
- v glavnem
- Izdelava
- zlonamerna programska oprema
- odkrivanje zlonamerne programske opreme
- upravlja
- upravitelj
- manipuliranje
- Manipulacija
- več
- MDR
- Spomin
- spremembe
- več
- Najbolj
- večfaktorska overitev
- več
- Ime
- Imena
- mreža
- omrežij
- Novo
- št
- Številka
- oktober
- of
- pogosto
- on
- o odprtju
- operaterji
- or
- organizacije
- Ostalo
- drugi
- Pandemija
- Geslo
- vodja geslo
- gesla
- Obdobje
- Ribarjenje
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Točka
- PowerShell
- prej
- privilegiran
- privilegiji
- Profili
- protokol
- zagotavljanje
- četrtletje
- Hitri
- rakun
- nedavno
- Pred kratkim
- Rdeča
- besedilu
- ostajajo
- daljinsko
- Remote Access
- delo na daljavo
- oddaljeni delavci
- poročilo
- Prijavljeno
- raziskovalci
- Odgovor
- Rezultati
- narašča
- s
- Je dejal
- Enako
- skripte
- Iskalnik
- iskalnik
- varnost
- zdi se
- občutljiva
- seo
- strežnik
- Storitev
- Shell
- premik
- je pokazala,
- podpisati
- podpisano
- saj
- So
- Software
- prodaja
- prefinjeno
- posebej
- namaz
- vztrajno
- ukradeno
- taka
- podpora
- sistem
- sistemi
- ciljanje
- tehnike
- kot
- da
- O
- njihove
- Njih
- POTEM
- Tukaj.
- te
- jih
- ta
- ta teden
- letos
- Grožnja
- akterji groženj
- skozi
- krat
- naslove
- do
- orodja
- vrh
- Top 10
- zaskrbljujoče
- Zaupajte
- poskusite
- OBRAT
- dva
- naprej
- uporaba
- Rabljeni
- uporabnik
- Uporabniki
- uporabo
- navadno
- uporabiti
- veljavno
- Variant
- raznolikost
- Prodajalec
- prodajalci
- preko
- Žrtva
- VMware
- denarnica
- web
- spletne strani
- teden
- Kaj
- ki
- z
- delo
- delavci
- leto
- let
- zefirnet
