Các nhà nghiên cứu bảo mật đã phát hiện ra sự gia tăng gần đây trong các cuộc tấn công liên quan đến một biến thể mới tinh vi của Jupyter, một kẻ đánh cắp thông tin đã nhắm mục tiêu vào người dùng trình duyệt Chrome, Edge và Firefox kể từ ít nhất là năm 2020.
Phần mềm độc hại, còn được gọi là Yellow Cockatoo, Solarmarker và Polazert, có thể sao lưu máy và thu thập nhiều thông tin xác thực, bao gồm tên máy tính, đặc quyền quản trị viên của người dùng, cookie, dữ liệu web, thông tin quản lý mật khẩu trình duyệt và các dữ liệu nhạy cảm khác từ hệ thống nạn nhân - chẳng hạn như thông tin đăng nhập vào ví tiền điện tử và ứng dụng truy cập từ xa.
Một mối đe dọa mạng đánh cắp dữ liệu dai dẳng
Các nhà nghiên cứu từ dịch vụ phát hiện và phản hồi được quản lý Carbon Black (MDR) của VMware gần đây quan sát phiên bản mới về phần mềm độc hại tận dụng các sửa đổi lệnh PowerShell và các tải trọng được ký điện tử có vẻ hợp pháp, lây nhiễm số lượng hệ thống ngày càng tăng kể từ cuối tháng XNUMX.
VMware cho biết trong blog bảo mật của mình: “Các vụ lây nhiễm Jupyter gần đây sử dụng nhiều chứng chỉ để ký phần mềm độc hại, từ đó có thể cho phép cấp độ tin cậy cho tệp độc hại, cung cấp quyền truy cập ban đầu vào máy của nạn nhân”. “Những sửa đổi này dường như nâng cao khả năng trốn tránh của [Jupyter], cho phép nó không bị phát hiện.”
MorpXNUMXec và BlackBerry — hai nhà cung cấp khác trước đây đã theo dõi Jupyter — đã xác định phần mềm độc hại có khả năng hoạt động như một cửa hậu chính thức. Họ đã mô tả các khả năng của nó bao gồm hỗ trợ liên lạc lệnh và kiểm soát (C2), hoạt động như một trình nhỏ giọt và trình tải cho phần mềm độc hại khác, làm rỗng mã shell để tránh bị phát hiện cũng như thực thi các tập lệnh và lệnh PowerShell.
BlackBerry đã báo cáo quan sát thấy Jupyter cũng nhắm mục tiêu vào các ví tiền điện tử, chẳng hạn như Ví Ethereum, Ví MyMonero và Ví nguyên tử, ngoài việc truy cập OpenVPN, Giao thức máy tính từ xa và các ứng dụng truy cập từ xa khác.
Những kẻ điều hành phần mềm độc hại đã sử dụng nhiều kỹ thuật khác nhau để phát tán phần mềm độc hại, bao gồm chuyển hướng công cụ tìm kiếm đến các trang web độc hại, tải xuống theo từng ổ đĩa, lừa đảo và đầu độc SEO — hoặc thao túng kết quả của công cụ tìm kiếm một cách độc hại để phát tán phần mềm độc hại.
Jupyter: Tìm hiểu khả năng phát hiện phần mềm độc hại
Trong các cuộc tấn công gần đây nhất, kẻ đứng sau Jupyter đã sử dụng các chứng chỉ hợp lệ để ký điện tử vào phần mềm độc hại để nó có vẻ hợp pháp đối với các công cụ phát hiện phần mềm độc hại. Các tệp này có tên được thiết kế nhằm lừa người dùng mở chúng, với các tiêu đề như “An-nhà tuyển dụng-guide-to-group-health-continuation.exe"Và"Cách thực hiện-chỉnh sửa-trên-A-Word-Document-Permanent.exe".
Các nhà nghiên cứu của VMware đã quan sát thấy phần mềm độc hại tạo nhiều kết nối mạng tới máy chủ C2 của nó để giải mã tải trọng của kẻ đánh cắp thông tin và tải nó vào bộ nhớ, gần như ngay lập tức khi xâm nhập vào hệ thống nạn nhân.
Theo báo cáo của VMware, “Nhắm mục tiêu vào các trình duyệt Chrome, Edge và Firefox, sự lây nhiễm Jupyter sử dụng phương pháp đầu độc SEO và chuyển hướng công cụ tìm kiếm để khuyến khích tải xuống tệp độc hại, vốn là vectơ tấn công ban đầu trong chuỗi tấn công”. “Phần mềm độc hại đã chứng minh khả năng thu thập thông tin xác thực và giao tiếp C2 được mã hóa được sử dụng để lấy cắp dữ liệu nhạy cảm.”
Sự gia tăng đáng lo ngại về kẻ đánh cắp thông tin
Theo nhà cung cấp, Jupyter nằm trong số 10 vụ lây nhiễm thường xuyên nhất mà VMware phát hiện trên mạng khách hàng trong những năm gần đây. Điều đó phù hợp với những gì người khác đã báo cáo về một sự gia tăng mạnh mẽ và đáng lo ngại về việc sử dụng kẻ đánh cắp thông tin sau quá trình chuyển đổi quy mô lớn sang làm việc từ xa tại nhiều tổ chức sau khi đại dịch COVID-19 bắt đầu.
Chim hoàng yến đỏChẳng hạn, đã báo cáo rằng những kẻ đánh cắp thông tin như RedLine, Racoon và Vidar nhiều lần lọt vào danh sách top 10 vào năm 2022. Thông thường, phần mềm độc hại xuất hiện dưới dạng tệp cài đặt giả mạo hoặc bị nhiễm độc cho phần mềm hợp pháp thông qua quảng cáo độc hại hoặc thông qua thao tác SEO. Công ty nhận thấy những kẻ tấn công sử dụng phần mềm độc hại chủ yếu để cố gắng thu thập thông tin xác thực từ những người làm việc từ xa nhằm cho phép truy cập nhanh chóng, liên tục và đặc quyền vào mạng và hệ thống doanh nghiệp.
Các nhà nghiên cứu của Red Canary cho biết: “Không ngành công nghiệp nào tránh khỏi phần mềm độc hại đánh cắp và sự lây lan của phần mềm độc hại như vậy thường mang tính cơ hội, thường thông qua thao túng quảng cáo và SEO”.
Uptycs đã báo cáo một sự gia tăng tương tự và đáng lo ngại trong việc phân phối kẻ đánh cắp thông tin vào đầu năm nay. Dữ liệu mà công ty theo dõi cho thấy số lượng sự cố trong đó kẻ tấn công triển khai công cụ đánh cắp thông tin đã tăng hơn gấp đôi trong quý đầu tiên của năm 2023, so với cùng kỳ năm ngoái. Nhà cung cấp bảo mật đã phát hiện các tác nhân đe dọa sử dụng phần mềm độc hại để đánh cắp tên người dùng và mật khẩu, thông tin trình duyệt như hồ sơ và thông tin tự động điền, thông tin thẻ tín dụng, thông tin ví tiền điện tử và thông tin hệ thống. Theo Uptycs, những kẻ đánh cắp thông tin mới hơn như Rhadamanthys cũng có thể đánh cắp nhật ký từ các ứng dụng xác thực đa yếu tố một cách cụ thể. Nhật ký chứa dữ liệu bị đánh cắp sau đó được bán trên các diễn đàn tội phạm, nơi có nhu cầu lớn về dữ liệu đó.
“Việc lọc dữ liệu bị đánh cắp có một Tác động nguy hiểm đến tổ chức hoặc cá nhân, vì nó có thể dễ dàng được bán trên web đen như một điểm truy cập ban đầu cho các tác nhân đe dọa khác”, các nhà nghiên cứu của Uptycs cảnh báo.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant
- : có
- :là
- :Ở đâu
- 10
- 2020
- 2022
- 2023
- 7
- a
- Giới thiệu
- truy cập
- truy cập
- Theo
- diễn xuất
- diễn viên
- Ngoài ra
- quản trị viên
- Quảng cáo
- Sau
- cho phép
- Cho phép
- gần như
- Ngoài ra
- trong số
- an
- và
- xuất hiện
- các ứng dụng
- ứng dụng
- LÀ
- xung quanh
- đến
- AS
- At
- tấn công
- Các cuộc tấn công
- Xác thực
- cửa sau
- BE
- được
- bắt đầu
- sau
- Đen
- Blog
- trình duyệt
- trình duyệt
- Chiến dịch
- CAN
- khả năng
- có khả năng
- carbon
- thẻ
- Giấy chứng nhận
- chuỗi
- cơ rôm
- khách hàng
- mã
- Giao tiếp
- Truyền thông
- công ty
- so
- máy tính
- liên quan đến
- Kết nối
- thích hợp
- điều khiển
- bánh quy
- Covid-19
- Đại dịch COVID-19
- CHỨNG CHỈ
- Credentials
- tín dụng
- thẻ tín dụng
- Hình sự
- không gian mạng
- Nguy hiểm
- tối
- Web tối
- dữ liệu
- Giải mã
- cung cấp
- Nhu cầu
- chứng minh
- triển khai
- mô tả
- thiết kế
- máy tính để bàn
- phát hiện
- Phát hiện
- kỹ thuật số
- phân phát
- phân phối
- tăng gấp đôi
- Tải xuống
- Sớm hơn
- dễ dàng
- Cạnh
- kích hoạt
- khuyến khích
- mã hóa
- Động cơ
- nâng cao
- Doanh nghiệp
- ethereum
- Ví Ethereum
- trốn tránh
- thi hành
- sự lọc ra
- giả mạo
- Tập tin
- Các tập tin
- Firefox
- Tên
- tiếp theo
- Trong
- diễn đàn
- tìm thấy
- thường xuyên
- từ
- chính thức
- hoạt động
- thu thập
- nhận được
- cấp
- thu hoạch
- thu hoạch
- Có
- nặng
- HTML
- HTTPS
- xác định
- ngay
- Va chạm
- in
- Bao gồm
- Tăng lên
- các cá nhân
- ngành công nghiệp
- nhiễm trùng
- Thông tin
- thông tin
- ban đầu
- ví dụ
- trong
- liên quan đến
- IT
- ITS
- jpg
- hạ cánh
- quy mô lớn
- Họ
- Năm ngoái
- Trễ, muộn
- ít nhất
- hợp pháp
- tận dụng
- Chức năng
- tải
- loader
- máy
- Máy móc
- thực hiện
- phần lớn
- Làm
- phần mềm độc hại
- phát hiện phần mềm độc hại
- quản lý
- giám đốc
- thao túng
- Thao tác
- nhiều
- MDR
- Bộ nhớ
- Sửa đổi
- chi tiết
- hầu hết
- xác thực đa yếu tố
- nhiều
- tên
- tên
- mạng
- mạng
- Mới
- Không
- con số
- Tháng Mười
- of
- thường
- on
- mở
- khai thác
- or
- tổ chức
- Nền tảng khác
- Khác
- đại dịch
- Mật khẩu
- quản lý mật khẩu
- Mật khẩu
- thời gian
- Lừa đảo
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Điểm
- PowerShell
- trước đây
- đặc quyền đặc lợi
- đặc quyền
- Profiles
- giao thức
- cung cấp
- Quý
- Nhanh chóng
- Gấu mèo. - Gấu mèo
- gần đây
- gần đây
- đỏ
- gọi
- vẫn
- xa
- truy cập từ xa
- làm việc từ xa
- công nhân từ xa
- báo cáo
- Báo cáo
- nhà nghiên cứu
- phản ứng
- Kết quả
- tăng
- s
- Nói
- tương tự
- kịch bản
- Tìm kiếm
- công cụ tìm kiếm
- an ninh
- hình như
- nhạy cảm
- SEO
- máy chủ
- dịch vụ
- Shell
- thay đổi
- cho thấy
- đăng ký
- Ký kết
- kể từ khi
- So
- Phần mềm
- bán
- tinh vi
- đặc biệt
- lan tràn
- ổn định
- ăn cắp
- như vậy
- hỗ trợ
- hệ thống
- hệ thống
- nhắm mục tiêu
- kỹ thuật
- hơn
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- sau đó
- Đó
- Kia là
- họ
- điều này
- tuần này
- năm nay
- mối đe dọa
- diễn viên đe dọa
- Thông qua
- thời gian
- trò chơi
- đến
- công cụ
- hàng đầu
- Top 10
- rắc rối
- NIỀM TIN
- thử
- XOAY
- hai
- trên
- sử dụng
- đã sử dụng
- người sử dang
- Người sử dụng
- sử dụng
- thường
- sử dụng
- hợp lệ
- biến thể
- nhiều
- nhà cung cấp
- nhà cung cấp
- thông qua
- nạn nhân
- vmware
- ví
- web
- trang web
- tuần
- Điều gì
- cái nào
- với
- Công việc
- công nhân
- năm
- năm
- zephyrnet