แคมเปญ Evasive Jupyter Infostealer นำเสนอตัวแปรที่เป็นอันตราย

นักวิจัยด้านความปลอดภัยพบว่ามีการโจมตีเพิ่มขึ้นเมื่อเร็วๆ นี้ที่เกี่ยวข้องกับ Jupyter เวอร์ชันใหม่ที่มีความซับซ้อน ซึ่งเป็นตัวขโมยข้อมูลที่กำหนดเป้าหมายผู้ใช้เบราว์เซอร์ Chrome, Edge และ Firefox ตั้งแต่ปี 2020 เป็นอย่างน้อย

มัลแวร์นี้เรียกอีกอย่างว่า Yellow Cockatoo, Solarmarker และ Polazert สามารถแบ็คดอร์เครื่องและรวบรวมข้อมูลประจำตัวที่หลากหลาย รวมถึงชื่อคอมพิวเตอร์ สิทธิ์ของผู้ดูแลระบบของผู้ใช้ คุกกี้ ข้อมูลเว็บ ข้อมูลผู้จัดการรหัสผ่านของเบราว์เซอร์ และข้อมูลที่ละเอียดอ่อนอื่น ๆ จาก ระบบของเหยื่อ — เช่น การเข้าสู่ระบบกระเป๋าเงินดิจิตอลและแอปการเข้าถึงระยะไกล

ภัยคุกคามทางไซเบอร์ที่ขโมยข้อมูลอย่างต่อเนื่อง

เมื่อเร็วๆ นี้ นักวิจัยจากบริการตรวจจับและตอบสนอง (MDR) ของ Carbon Black ของ VMware สังเกตเวอร์ชันใหม่ ของมัลแวร์ที่ใช้ประโยชน์จากการแก้ไขคำสั่ง PowerShell และเพย์โหลดที่ดูถูกต้องตามกฎหมายและลงนามแบบดิจิทัล ซึ่งแพร่ระบาดในระบบจำนวนเพิ่มขึ้นอย่างต่อเนื่องนับตั้งแต่ปลายเดือนตุลาคม

“การติดไวรัส Jupyter ล่าสุดใช้ใบรับรองหลายใบเพื่อลงนามมัลแวร์ ซึ่งในทางกลับกันสามารถให้ความไว้วางใจแก่ไฟล์ที่เป็นอันตราย โดยให้การเข้าถึงเบื้องต้นไปยังเครื่องของเหยื่อ” VMware กล่าวในบล็อกความปลอดภัยในสัปดาห์นี้ “การปรับเปลี่ยนเหล่านี้ดูเหมือนจะเพิ่มความสามารถในการหลบหลีกของ [Jupyter] ทำให้มันยังคงไม่โดดเด่น”

มอร์ฟีเซค และ BlackBerry — ผู้จำหน่ายอีกสองรายที่เคยติดตาม Jupyter ก่อนหน้านี้ — ได้ระบุมัลแวร์ว่าสามารถทำงานเป็นแบ็คดอร์เต็มรูปแบบได้ พวกเขาได้อธิบายถึงความสามารถต่างๆ ของมัน เช่น การสนับสนุนการสื่อสารคำสั่งและการควบคุม (C2) ทำหน้าที่เป็นตัวหยดและตัวโหลดสำหรับมัลแวร์อื่นๆ การฝังโค้ดเชลล์เพื่อหลบเลี่ยงการตรวจจับ และการเรียกใช้สคริปต์และคำสั่ง PowerShell

BlackBerry ได้รายงานว่าการสังเกต Jupyter ยังกำหนดเป้าหมายไปที่ crypto-wallets เช่น Ethereum Wallet, MyMonero Wallet และ Atomic Wallet นอกเหนือจากการเข้าถึง OpenVPN, Remote Desktop Protocol และแอปพลิเคชันการเข้าถึงระยะไกลอื่น ๆ

ผู้ดำเนินการมัลแวร์ได้ใช้เทคนิคที่หลากหลายเพื่อกระจายมัลแวร์ รวมถึงการเปลี่ยนเส้นทางเครื่องมือค้นหาไปยังเว็บไซต์ที่เป็นอันตราย การดาวน์โหลดแบบไดรฟ์บาย ฟิชชิ่ง และการวางยา SEO หรือการจัดการผลลัพธ์ของเครื่องมือค้นหาอย่างประสงค์ร้ายเพื่อส่งมัลแวร์

Jupyter: หลีกเลี่ยงการตรวจจับมัลแวร์

ในการโจมตีครั้งล่าสุด ผู้คุกคามที่อยู่เบื้องหลัง Jupyter ได้ใช้ใบรับรองที่ถูกต้องเพื่อลงนามมัลแวร์แบบดิจิทัล เพื่อให้ดูเหมือนว่าเครื่องมือตรวจจับมัลแวร์นั้นถูกต้องตามกฎหมาย ไฟล์มีชื่อที่ออกแบบมาเพื่อพยายามหลอกให้ผู้ใช้เปิดไฟล์เหล่านั้น โดยมีหัวเรื่องเช่น “An-นายจ้าง-guide-to-group-health-continuation.exe"และ"วิธีแก้ไขบนเอกสาร Word-Permanent.exe"

นักวิจัยของ VMware สังเกตเห็นมัลแวร์ที่สร้างการเชื่อมต่อเครือข่ายหลายจุดไปยังเซิร์ฟเวอร์ C2 เพื่อถอดรหัสข้อมูลเพย์โหลดของ infostealer และโหลดลงในหน่วยความจำ แทบจะในทันทีที่ลงสู่ระบบของเหยื่อ

“การกำหนดเป้าหมายเบราว์เซอร์ Chrome, Edge และ Firefox การติดไวรัส Jupyter ใช้การวางยาพิษ SEO และการเปลี่ยนเส้นทางเครื่องมือค้นหาเพื่อสนับสนุนการดาวน์โหลดไฟล์ที่เป็นอันตรายซึ่งเป็นเวกเตอร์การโจมตีเริ่มต้นในห่วงโซ่การโจมตี” ตามรายงานของ VMware “มัลแวร์ได้แสดงให้เห็นถึงการเก็บเกี่ยวข้อมูลรับรองและความสามารถในการสื่อสาร C2 ที่เข้ารหัสซึ่งใช้ในการดึงข้อมูลที่ละเอียดอ่อน”

การขโมยข้อมูลที่เพิ่มขึ้นอย่างน่าหนักใจ

Jupyter เป็นหนึ่งใน 10 การติดไวรัสที่พบบ่อยที่สุดที่ VMware ตรวจพบบนเครือข่ายไคลเอนต์ในช่วงไม่กี่ปีที่ผ่านมา นั่นสอดคล้องกับสิ่งที่คนอื่นรายงานเกี่ยวกับก การเพิ่มขึ้นอย่างรวดเร็วและน่ากังวล ในการใช้ระบบขโมยข้อมูลภายหลังการเปลี่ยนแปลงครั้งใหญ่ไปทำงานจากระยะไกลในหลายๆ องค์กรหลังการระบาดใหญ่ของโควิด-19 เริ่มต้นขึ้น

นกขมิ้นแดงตัวอย่างเช่น รายงานว่าผู้ขโมยข้อมูล เช่น RedLine, Racoon และ Vidar ติดอันดับ 10 อันดับแรกหลายครั้งในปี 2022 โดยส่วนใหญ่ มัลแวร์มาถึงในรูปแบบไฟล์ตัวติดตั้งปลอมหรือวางยาพิษสำหรับซอฟต์แวร์ที่ถูกกฎหมายผ่านโฆษณาที่เป็นอันตรายหรือผ่านการปรับแต่ง SEO บริษัทพบว่าผู้โจมตีใช้มัลแวร์เป็นหลักเพื่อพยายามรวบรวมข้อมูลประจำตัวจากพนักงานระยะไกลที่ช่วยให้สามารถเข้าถึงเครือข่ายและระบบขององค์กรได้อย่างรวดเร็ว ต่อเนื่อง และมีสิทธิพิเศษ

“ไม่มีอุตสาหกรรมใดที่รอดพ้นจากมัลแวร์ขโมยข้อมูล และการแพร่กระจายของมัลแวร์ดังกล่าวมักจะเป็นโอกาส โดยมักจะผ่านการโฆษณาและการปรับแต่ง SEO” นักวิจัยของ Red Canary กล่าว

Uptycs รายงานการ คล้ายกันและเพิ่มขึ้นอย่างน่าหนักใจ ในการจำหน่าย infostealer เมื่อต้นปีนี้ ข้อมูลที่บริษัทติดตามแสดงให้เห็นจำนวนเหตุการณ์ที่ผู้โจมตีใช้งานระบบขโมยข้อมูลมากกว่าสองเท่าในไตรมาสแรกของปี 2023 เมื่อเทียบกับช่วงเดียวกันของปีที่แล้ว ผู้จำหน่ายระบบรักษาความปลอดภัยพบผู้คุกคามที่ใช้มัลแวร์เพื่อขโมยชื่อผู้ใช้และรหัสผ่าน ข้อมูลเบราว์เซอร์ เช่น โปรไฟล์และข้อมูลป้อนอัตโนมัติ ข้อมูลบัตรเครดิต ข้อมูลกระเป๋าเงินดิจิทัล และข้อมูลระบบ ผู้ขโมยข้อมูลรุ่นใหม่ เช่น Rhadamanthys ยังสามารถขโมยบันทึกจากแอปพลิเคชันการรับรองความถูกต้องแบบหลายปัจจัยได้โดยเฉพาะ ตามข้อมูลของ Uptycs บันทึกที่มีข้อมูลที่ถูกขโมยจะถูกขายในฟอรัมอาชญากรรมซึ่งมีความต้องการอย่างมาก

“การกรองข้อมูลที่ถูกขโมยมี ผลกระทบที่เป็นอันตรายต่อองค์กร หรือบุคคล เนื่องจากสามารถขายบนเว็บมืดได้อย่างง่ายดายในฐานะจุดเข้าใช้งานเริ่มต้นสำหรับผู้ก่อภัยคุกคามรายอื่น” นักวิจัยของ Uptycs เตือน

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant