Undvikande Jupyter Infostealer-kampanj visar farlig variant

Säkerhetsforskare har sett en nyligen ökad ökning av attacker som involverar en sofistikerad ny variant av Jupyter, en informationsstöldare som har riktat sig mot användare av webbläsare Chrome, Edge och Firefox sedan åtminstone 2020.

Skadlig programvara, även kallad Yellow Cockatoo, Solarmarker och Polazert, kan bakdörrsmaskiner och samla in en mängd olika autentiseringsinformation, inklusive datornamn, användarens administratörsbehörighet, cookies, webbdata, webbläsarlösenordshanterarinformation och annan känslig data från offersystem — såsom inloggningar för kryptoplånböcker och appar för fjärråtkomst.

Ett ihållande cyberhot för datastöld

Forskare från VMwares Carbon Black managed detection and response (MDR) tjänst nyligen observerade den nya versionen av skadlig programvara som utnyttjar PowerShell-kommandoändringar och legitimt utseende, digitalt signerade nyttolaster, som infekterar ett stadigt ökande antal system sedan slutet av oktober.

"De senaste Jupyter-infektionerna använder flera certifikat för att signera deras skadliga program som i sin tur kan tillåta förtroende för den skadliga filen, vilket ger initial åtkomst till offrets maskin", sa VMware i sin säkerhetsblogg denna vecka. "Dessa modifieringar verkar förbättra [Jupyters] undanflyktsförmåga, vilket gör att den förblir oansenlig."

Morphisec och BlackBerry — två andra leverantörer som tidigare har spårat Jupyter — har identifierat skadlig programvara som kapabel att fungera som en fullfjädrad bakdörr. De har beskrivit dess möjligheter som att inkludera stöd för kommando- och kontrollkommunikation (C2), fungera som en droppare och laddare för annan skadlig kod, urholka skalkod för att undvika upptäckt och exekvera PowerShell-skript och kommandon.

BlackBerry har rapporterat att Jupyter också inriktar sig på kryptoplånböcker, såsom Ethereum Wallet, MyMonero Wallet och Atomic Wallet, förutom att få åtkomst till OpenVPN, Remote Desktop Protocol och andra fjärråtkomstapplikationer.

Operatörerna av skadlig programvara har använt en mängd olika tekniker för att distribuera skadlig programvara, inklusive omdirigeringar av sökmotorer till skadliga webbplatser, drive-by-nedladdningar, nätfiske och SEO-förgiftning – eller illvilligt manipulera sökmotorresultat för att leverera skadlig programvara.

Jupyter: Att komma runt Skadlig programvara

I de senaste attackerna har hotaktören bakom Jupyter använt giltiga certifikat för att digitalt signera skadlig programvara så att den verkar legitim för verktyg för upptäckt av skadlig programvara. Filerna har namn designade för att försöka lura användare att öppna dem, med titlar som "An-employers-guide-to-group-health-continuation.exe"Och"How-To-Make-Edits-On-A-Word-Document-Permanent.exe".

VMware-forskare observerade att skadlig programvara skapade flera nätverksanslutningar till sin C2-server för att dekryptera infostealerns nyttolast och ladda den i minnet, nästan omedelbart efter landning på ett offersystem.

"Jupyter-infektioner riktar sig till webbläsarna Chrome, Edge och Firefox och använder SEO-förgiftning och sökmotoromdirigeringar för att uppmuntra skadliga filnedladdningar som är den första attackvektorn i attackkedjan", enligt VMwares rapport. "Den skadliga programvaran har visat insamling av autentiseringsuppgifter och krypterade C2-kommunikationsfunktioner som används för att exfiltrera känslig data."

En bekymmersam ökning av Infostealers

Jupyter är bland de 10 vanligaste infektionerna som VMware har upptäckt på klientnätverk under de senaste åren, enligt leverantören. Det stämmer överens med vad andra har rapporterat om a kraftig och bekymmersam uppgång i användningen av infostelare efter den storskaliga övergången till distansarbete hos många organisationer efter att covid-19-pandemin började.

Röda Kanarieöarna, till exempel, rapporterade att infostealers som RedLine, Racoon och Vidar gjorde sina topp 10-listor flera gånger under 2022. Oftast kom skadlig programvara som falska eller förgiftade installationsfiler för legitim programvara via skadliga annonser eller genom SEO-manipulation. Företaget hittade angripare som använde skadlig programvara främst för att försöka samla in autentiseringsuppgifter från fjärranställda som möjliggjorde snabb, ihållande och privilegierad åtkomst till företagsnätverk och system.

"Ingen industri är immun mot att stjäla skadlig programvara och spridningen av sådan skadlig programvara är ofta opportunistisk, vanligtvis genom reklam och SEO-manipulation," sa Red Canary-forskare.

Uptycs rapporterade en liknande och besvärande ökning i infostealer distribution tidigare i år. Data som företaget spårade visade att antalet incidenter där en angripare använde en infostealer mer än fördubblades under första kvartalet 2023, jämfört med samma period förra året. Säkerhetsleverantören hittade hotaktörer som använde skadlig programvara för att stjäla användarnamn och lösenord, webbläsarinformation som profiler och autofyllinformation, kreditkortsinformation, kryptoplånboksinformation och systeminformation. Nyare infostealers som Rhadamanthys kan också specifikt stjäla loggar från multifaktorautentiseringsapplikationer, enligt Uptycs. Loggar som innehåller stulna uppgifter säljs sedan på kriminella forum, där det finns en stor efterfrågan på det.

"Exfiltrering av stulen data har en farlig påverkan på organisationer eller individer, eftersom det lätt kan säljas på den mörka webben som en första åtkomstpunkt för andra hotaktörer”, varnade Uptycs-forskare.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant