Дослідники з безпеки помітили нещодавнє збільшення кількості атак із залученням нового складного варіанту Jupyter, викрадача інформації, який націлений на користувачів браузерів Chrome, Edge і Firefox принаймні з 2020 року.
Зловмисне програмне забезпечення, яке також називають Yellow Cockatoo, Solarmarker і Polazert, може здійснювати бекдори на машинах і збирати різноманітну облікову інформацію, включаючи ім’я комп’ютера, права адміністратора користувача, файли cookie, веб-дані, інформацію менеджера паролів браузера та інші конфіденційні дані з системи-жертви, такі як логіни для крипто-гаманців і програми віддаленого доступу.
Постійна кіберзагроза крадіжки даних
Нещодавно дослідники з служби керованого виявлення та реагування (MDR) VMware Carbon Black помітив нову версію зловмисного програмного забезпечення, що використовує модифікації команд PowerShell і легітимні корисні навантаження з цифровим підписом, заражаючи постійно зростаючу кількість систем з кінця жовтня.
«Останні випадки зараження Jupyter використовують кілька сертифікатів для підпису свого шкідливого програмного забезпечення, яке, у свою чергу, може дозволити надати довіру шкідливому файлу, забезпечуючи початковий доступ до комп’ютера жертви», — повідомила VMware у своєму блозі безпеки цього тижня. «Ці модифікації, здається, покращують можливості [Юпітера] ухилятися, дозволяючи йому залишатися непомітним».
Морфісек та BlackBerry — два інші постачальники, які раніше відстежували Jupyter, — визначили зловмисне програмне забезпечення, здатне функціонувати як повноцінний бекдор. Вони описали його можливості як такі, що включають підтримку командно-контрольних (C2) зв’язків, діють як дроппер і завантажувач для іншого шкідливого програмного забезпечення, видалення коду оболонки, щоб уникнути виявлення, і виконання сценаріїв і команд PowerShell.
BlackBerry повідомила, що спостерігає, як Jupyter також націлюється на крипто-гаманці, такі як Ethereum Wallet, MyMonero Wallet і Atomic Wallet, на додаток до доступу до OpenVPN, Remote Desktop Protocol та інших програм віддаленого доступу.
Оператори зловмисного програмного забезпечення використовували різноманітні методи для розповсюдження зловмисного програмного забезпечення, включаючи переспрямування пошукових систем на шкідливі веб-сайти, завантаження, фішинг і пошукову оптимізацію — або зловмисне маніпулювання результатами пошукової системи для доставки зловмисного програмного забезпечення.
Jupyter: обхід виявлення шкідливих програм
Під час останніх атак зловмисник, що стоїть за Jupyter, використовував дійсні сертифікати для цифрового підпису зловмисного програмного забезпечення, щоб інструменти виявлення зловмисного програмного забезпечення виглядали легітимними. Файли мають назви, розроблені таким чином, щоб спробувати змусити користувачів відкрити їх, наприклад «An-employers-guide-to-group-health-continuation.exe"І"How-To-Make-Edits-On-A-Word-Document-Permanent.exe».
Дослідники VMware спостерігали, як зловмисне програмне забезпечення встановлює численні мережеві підключення до свого сервера C2, щоб розшифрувати корисне навантаження інфокрадію та завантажити його в пам’ять, майже відразу після потрапляння на систему-жертву.
«Націлюючись на браузери Chrome, Edge і Firefox, зараження Jupyter використовує отруєння SEO та перенаправлення пошукових систем, щоб стимулювати завантаження зловмисних файлів, які є початковим вектором атаки в ланцюжку атак», — йдеться у звіті VMware. «Зловмисне програмне забезпечення продемонструвало збір облікових даних і можливості зашифрованого зв’язку C2, які використовуються для викрадання конфіденційних даних».
Тривожне зростання інфокрадіїв
Згідно з даними постачальника, Jupyter входить до 10 найбільш частих заражень, які VMware виявляла в клієнтських мережах за останні роки. Це узгоджується з тим, що інші повідомляли про a різкий і хвилюючий підйом у використанні інфокрадиків після широкомасштабного переходу до віддаленої роботи в багатьох організаціях після початку пандемії COVID-19.
Червона Канарська, наприклад, повідомили, що у 10 році такі викрадачі інформації, як RedLine, Racoon і Vidar, неодноразово потрапляли в 2022 найкращих списків. Найчастіше зловмисне програмне забезпечення надходило у вигляді підроблених або отруєних файлів інсталятора для законного програмного забезпечення через зловмисну рекламу або через маніпуляції з SEO. Компанія виявила, що зловмисники використовують зловмисне програмне забезпечення, головним чином, щоб спробувати отримати облікові дані від віддалених співробітників, які забезпечують швидкий, постійний і привілейований доступ до корпоративних мереж і систем.
«Жодна галузь не застрахована від зловмисного програмного забезпечення, яке розповсюджується, і поширення такого шкідливого програмного забезпечення часто є опортуністичним, як правило, через рекламу та маніпуляції з пошуковою системою пошукових систем», — заявили дослідники Red Canary.
Uptycs повідомив a подібне і тривожне зростання у розповсюдженні infostealer на початку цього року. Дані, які відстежувала компанія, показали, що кількість інцидентів, під час яких зловмисник застосував інфокрадію, зросла більш ніж удвічі в першому кварталі 2023 року порівняно з тим же періодом минулого року. Постачальник засобів безпеки виявив зловмисників, які використовують зловмисне програмне забезпечення для викрадення імен користувачів і паролів, інформації про браузер, такої як профілі та інформація автозаповнення, інформації про кредитну картку, інформації про крипто-гаманець і системної інформації. За даними Uptycs, нові інформаційні викрадачі, такі як Rhadamanthys, також можуть спеціально викрадати журнали з програм багатофакторної автентифікації. Журнали, що містять викрадені дані, потім продаються на кримінальних форумах, де на них є великий попит.
«Викрадання вкрадених даних має a небезпечний вплив на організації або окремим особам, оскільки його можна легко продати в темній мережі як початкову точку доступу для інших учасників загрози», — попередили дослідники Uptycs.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant
- : має
- :є
- :де
- 10
- 2020
- 2022
- 2023
- 7
- a
- МЕНЮ
- доступ
- доступ до
- За
- діючий
- актори
- доповнення
- адмін
- реклама
- після
- дозволяти
- Дозволити
- майже
- Також
- серед
- an
- та
- з'являється
- застосування
- додатка
- ЕСТЬ
- навколо
- прибулий
- AS
- At
- атака
- нападки
- Authentication
- закулісний
- BE
- було
- почалася
- за
- Black
- Блог
- браузер
- браузери
- Кампанія
- CAN
- можливості
- здатний
- вуглець
- карта
- сертифікати
- ланцюг
- Chrome
- клієнт
- код
- Комунікація
- зв'язку
- компанія
- порівняний
- комп'ютер
- щодо
- Зв'язки
- послідовний
- контроль
- печиво
- COVID-19
- Пандемія COVID-19
- ІНТЕРЕНЦІЙНИЙ
- Повноваження
- кредит
- кредитна картка
- Кримінальну
- кібер-
- Небезпечний
- темно
- Dark Web
- дані
- Розшифрувати
- доставляти
- Попит
- продемонстрований
- розгорнути
- описаний
- призначений
- робочий стіл
- виявлено
- Виявлення
- в цифровому вигляді
- поширювати
- розподіл
- подвоєння
- завантажень
- Раніше
- легко
- край
- включений
- заохочувати
- зашифрованих
- двигун
- підвищувати
- підприємство
- Ефіріума
- Гаманець Ethereum
- ухилення
- виконання
- ексфільтрація
- підроблений
- філе
- Файли
- Firefox
- Перший
- після
- для
- форуми
- знайдений
- частий
- від
- повноцінний
- функціонування
- збирати
- отримання
- надається
- урожай
- збирання врожаю
- Мати
- важкий
- HTML
- HTTPS
- ідентифікований
- негайно
- Impact
- in
- У тому числі
- Augmenter
- осіб
- промисловість
- інфекції
- інформація
- інформація
- початковий
- екземпляр
- в
- за участю
- IT
- ЙОГО
- JPG
- посадка
- масштабний
- останній
- Минулого року
- Пізно
- найменш
- законний
- використання
- списки
- загрузка
- завантажувач
- машина
- Машинки для перманенту
- made
- головним чином
- Робить
- шкідливих програм
- виявлення шкідливих програм
- вдалося
- менеджер
- маніпулювання
- Маніпуляція
- багато
- MDR
- пам'ять
- Поправки
- більше
- найбільш
- багатофакторна аутентифікація
- множинний
- ім'я
- Імена
- мережу
- мереж
- Нові
- немає
- номер
- жовтень
- of
- часто
- on
- відкриття
- Оператори
- or
- організації
- Інше
- інші
- пандемія
- Пароль
- Password Manager
- Паролі
- period
- phishing
- plato
- Інформація про дані Платона
- PlatoData
- точка
- PowerShell
- раніше
- привілейовані
- привілеї
- Профілі
- протокол
- забезпечення
- Квартал
- Швидко
- єнот
- останній
- нещодавно
- червоний
- називають
- залишатися
- віддалений
- Віддалений доступ
- remote work
- віддалені працівники
- звітом
- Повідомляється
- Дослідники
- відповідь
- результати
- підвищення
- s
- Зазначений
- то ж
- scripts
- Пошук
- Пошукова система
- безпеку
- здається
- чутливий
- пошукова оптимізація
- сервер
- обслуговування
- Склад
- зсув
- показав
- підпис
- підписаний
- з
- So
- Софтвер
- проданий
- складний
- конкретно
- поширення
- неухильно
- вкрали
- такі
- підтримка
- система
- Systems
- націлювання
- методи
- ніж
- Що
- Команда
- їх
- Їх
- потім
- Там.
- Ці
- вони
- це
- На цьому тижні
- У цьому році
- загроза
- актори загроз
- через
- times
- назви
- до
- інструменти
- топ
- Кращі 10
- тривожний
- Довіряйте
- намагатися
- ПЕРЕГЛЯД
- два
- на
- використання
- використовуваний
- користувач
- користувачі
- використання
- зазвичай
- використовувати
- дійсний
- варіант
- різноманітність
- продавець
- постачальники
- через
- Жертва
- VMware
- Wallet
- Web
- веб-сайти
- week
- Що
- який
- з
- Work
- робочі
- рік
- років
- зефірнет