Kaçamak Jupyter Bilgi Hırsızı Kampanyası Tehlikeli Bir Çeşit Sergiliyor

Kaçamak Jupyter Bilgi Hırsızı Kampanyası Tehlikeli Bir Çeşit Sergiliyor

Zaman Damgası: 8 Kasım 2023 5:55
Kaçamak Jupyter Bilgi Hırsızı Kampanyası, PlatoBlockchain Veri İstihbaratının Tehlikeli Varyantını Sergiliyor. Dikey Arama. Ai.

Güvenlik araştırmacıları, en az 2020'den beri Chrome, Edge ve Firefox tarayıcılarının kullanıcılarını hedef alan bir bilgi hırsızı olan Jupyter'in yeni ve gelişmiş bir versiyonunu içeren saldırılarda yakın zamanda bir artış tespit etti.

Sarı Kakadu, Solarmarker ve Polazert olarak da adlandırılan kötü amaçlı yazılım, makinelere arka kapı açabilir ve bilgisayar adı, kullanıcının yönetici ayrıcalıkları, çerezler, Web verileri, tarayıcı şifre yöneticisi bilgileri ve diğer hassas veriler dahil olmak üzere çeşitli kimlik bilgilerini toplayabilir. Kripto cüzdanlar ve uzaktan erişim uygulamaları için oturum açma bilgileri gibi kurban sistemleri.

Kalıcı Veri Çalma Siber Tehdidi

VMware'in Carbon Black yönetimindeki araştırmacılar yakın zamanda algılama ve yanıt (MDR) hizmetini yönetti yeni versiyonu gözlemledim PowerShell komut değişikliklerinden ve yasal görünümlü, dijital olarak imzalanmış yüklerden yararlanan kötü amaçlı yazılımların Ekim sonundan bu yana giderek artan sayıda sisteme bulaştığı görüldü.

VMware bu haftaki güvenlik blogunda, "Son Jupyter enfeksiyonları, kötü amaçlı yazılımlarını imzalamak için birden fazla sertifika kullanıyor ve bu da kötü amaçlı dosyaya güven verilmesine olanak tanıyarak kurbanın makinesine ilk erişimi sağlıyor" dedi. "Bu değişiklikler [Jupyter'ın] kaçınma yeteneklerini geliştiriyor ve göze çarpmadan kalmasına olanak tanıyor gibi görünüyor."

Morfisek ve BlackBerry Daha önce Jupyter'ı takip eden diğer iki tedarikçi, kötü amaçlı yazılımın tam teşekküllü bir arka kapı olarak çalışabildiğini tespit etti. Yeteneklerini, komuta ve kontrol (C2) iletişimleri için destek, diğer kötü amaçlı yazılımlar için bir damlatıcı ve yükleyici görevi görme, tespitten kaçınmak için kabuk kodunu boşaltma ve PowerShell komut dosyalarını ve komutlarını yürütme gibi özellikler olarak tanımladılar.

BlackBerry, Jupyter'in OpenVPN, Uzak Masaüstü Protokolü ve diğer uzaktan erişim uygulamalarına erişimin yanı sıra Ethereum Wallet, MyMonero Wallet ve Atomic Wallet gibi kripto cüzdanlarını da hedef aldığını gözlemlediğini bildirdi.

Kötü amaçlı yazılımın operatörleri, kötü amaçlı yazılımı dağıtmak için, arama motorunun kötü amaçlı web sitelerine yönlendirmeleri, rastgele indirmeler, kimlik avı ve SEO zehirlenmesi veya kötü amaçlı yazılım dağıtmak için arama motoru sonuçlarını kötü niyetli olarak manipüle etme dahil olmak üzere çeşitli teknikler kullandı.

Jupyter: Kötü Amaçlı Yazılım Tespitinden Kurtulmak

En son saldırılarda, Jupyter'ın arkasındaki tehdit aktörü, kötü amaçlı yazılımı dijital olarak imzalamak ve böylece kötü amaçlı yazılım tespit araçlarına meşru görünmesini sağlamak için geçerli sertifikalar kullanıyor. Dosyaların, kullanıcıları onları açmaları için kandırmaya çalışmak üzere tasarlanmış adları vardır; "Bir-işveren-kılavuzu-grup-sağlığı-devamı.exe"Ve"Bir-Word-Belgesi-Permanent.exe-Nasıl-Yapılır-Düzenlemeler".

VMware araştırmacıları, kötü amaçlı yazılımın, kurbanın sistemine ulaştığı anda bilgi hırsızı yükünün şifresini çözmek ve onu belleğe yüklemek için C2 sunucusuna birden fazla ağ bağlantısı yaptığını gözlemledi.

VMware'in raporuna göre "Chrome, Edge ve Firefox tarayıcılarını hedefleyen Jupyter enfeksiyonları, saldırı zincirindeki ilk saldırı vektörü olan kötü amaçlı dosya indirmelerini teşvik etmek için SEO zehirlenmesini ve arama motoru yönlendirmelerini kullanıyor." "Kötü amaçlı yazılım, hassas verileri sızdırmak için kullanılan kimlik bilgileri toplama ve şifreli C2 iletişim yeteneklerini gösterdi."

Bilgi Hırsızlarında Sorunlu Bir Artış

Satıcıya göre Jupyter, VMware'in son yıllarda istemci ağlarında tespit ettiği en sık görülen 10 enfeksiyon arasında yer alıyor. Bu, başkalarının bir konu hakkında bildirdikleriyle tutarlıdır. keskin ve endişe verici yükseliş COVID-19 salgını başladıktan sonra birçok kuruluşta büyük ölçekli uzaktan çalışmaya geçişin ardından bilgi hırsızlarının kullanımında artış görüldü.

Kırmızı KanaryaÖrneğin, RedLine, Racoon ve Vidar gibi bilgi hırsızlarının 10'de ilk 2022 listesine birden çok kez girdiğini bildirdi. Kötü amaçlı yazılımlar çoğunlukla, kötü amaçlı reklamlar veya SEO manipülasyonu yoluyla meşru yazılım için sahte veya zehirlenmiş yükleyici dosyaları olarak geldi. Şirket, saldırganların kötü amaçlı yazılımı çoğunlukla uzak çalışanlardan kurumsal ağlara ve sistemlere hızlı, kalıcı ve ayrıcalıklı erişim sağlayan kimlik bilgilerini toplamaya çalışmak için kullandığını tespit etti.

Red Canary araştırmacıları, "Hiçbir sektör, kötü amaçlı yazılımlara karşı bağışık değildir ve bu tür kötü amaçlı yazılımların yayılması genellikle reklam ve SEO manipülasyonu yoluyla fırsatçıdır" dedi.

Uptycs bildirdi benzer ve rahatsız edici bir artış bu yılın başlarında bilgi hırsızı dağıtımında. Şirketin izlediği veriler, bir saldırganın bilgi hırsızlığı yaptığı vakaların sayısının, geçen yılın aynı dönemine kıyasla 2023'ün ilk çeyreğinde iki kattan fazla arttığını gösterdi. Güvenlik sağlayıcısı, kullanıcı adlarını ve şifreleri, profiller ve otomatik doldurma bilgileri gibi tarayıcı bilgilerini, kredi kartı bilgilerini, kripto cüzdan bilgilerini ve sistem bilgilerini çalmak için kötü amaçlı yazılım kullanan tehdit aktörleri buldu. Uptycs'e göre Rhadamanthys gibi daha yeni bilgi hırsızları, özellikle çok faktörlü kimlik doğrulama uygulamalarından günlükleri çalabiliyor. Çalınan verileri içeren kayıtlar daha sonra yoğun talep gören suç forumlarında satılıyor.

“Çalınan verilerin sızdırılmasının kuruluşlar üzerinde tehlikeli etki Uptycs araştırmacıları, "Diğer tehdit aktörleri için başlangıç ​​erişim noktası olarak karanlık ağda kolayca satılabileceği için bireylere veya kişilere satılabilir" uyarısında bulundu.

Zaman Damgası:

Den fazla karanlık okuma