Chiến dịch đánh cắp thông tin Jupyter lảng tránh hiển thị biến thể nguy hiểm

Chiến dịch đánh cắp thông tin Jupyter lảng tránh hiển thị biến thể nguy hiểm

Dấu thời gian: 8:2023 chiều ngày 5 tháng 55 năm XNUMX
Chiến dịch đánh cắp thông tin Jupyter lảng tránh giới thiệu biến thể nguy hiểm của thông tin dữ liệu PlatoBlockchain. Tìm kiếm dọc. Ái.

Các nhà nghiên cứu bảo mật đã phát hiện ra sự gia tăng gần đây trong các cuộc tấn công liên quan đến một biến thể mới tinh vi của Jupyter, một kẻ đánh cắp thông tin đã nhắm mục tiêu vào người dùng trình duyệt Chrome, Edge và Firefox kể từ ít nhất là năm 2020.

Phần mềm độc hại, còn được gọi là Yellow Cockatoo, Solarmarker và Polazert, có thể sao lưu máy và thu thập nhiều thông tin xác thực, bao gồm tên máy tính, đặc quyền quản trị viên của người dùng, cookie, dữ liệu web, thông tin quản lý mật khẩu trình duyệt và các dữ liệu nhạy cảm khác từ hệ thống nạn nhân - chẳng hạn như thông tin đăng nhập vào ví tiền điện tử và ứng dụng truy cập từ xa.

Một mối đe dọa mạng đánh cắp dữ liệu dai dẳng

Các nhà nghiên cứu từ dịch vụ phát hiện và phản hồi được quản lý Carbon Black (MDR) của VMware gần đây quan sát phiên bản mới về phần mềm độc hại tận dụng các sửa đổi lệnh PowerShell và các tải trọng được ký điện tử có vẻ hợp pháp, lây nhiễm số lượng hệ thống ngày càng tăng kể từ cuối tháng XNUMX.

VMware cho biết trong blog bảo mật của mình: “Các vụ lây nhiễm Jupyter gần đây sử dụng nhiều chứng chỉ để ký phần mềm độc hại, từ đó có thể cho phép cấp độ tin cậy cho tệp độc hại, cung cấp quyền truy cập ban đầu vào máy của nạn nhân”. “Những sửa đổi này dường như nâng cao khả năng trốn tránh của [Jupyter], cho phép nó không bị phát hiện.”

MorpXNUMXecBlackBerry — hai nhà cung cấp khác trước đây đã theo dõi Jupyter — đã xác định phần mềm độc hại có khả năng hoạt động như một cửa hậu chính thức. Họ đã mô tả các khả năng của nó bao gồm hỗ trợ liên lạc lệnh và kiểm soát (C2), hoạt động như một trình nhỏ giọt và trình tải cho phần mềm độc hại khác, làm rỗng mã shell để tránh bị phát hiện cũng như thực thi các tập lệnh và lệnh PowerShell.

BlackBerry đã báo cáo quan sát thấy Jupyter cũng nhắm mục tiêu vào các ví tiền điện tử, chẳng hạn như Ví Ethereum, Ví MyMonero và Ví nguyên tử, ngoài việc truy cập OpenVPN, Giao thức máy tính từ xa và các ứng dụng truy cập từ xa khác.

Những kẻ điều hành phần mềm độc hại đã sử dụng nhiều kỹ thuật khác nhau để phát tán phần mềm độc hại, bao gồm chuyển hướng công cụ tìm kiếm đến các trang web độc hại, tải xuống theo từng ổ đĩa, lừa đảo và đầu độc SEO — hoặc thao túng kết quả của công cụ tìm kiếm một cách độc hại để phát tán phần mềm độc hại.

Jupyter: Tìm hiểu khả năng phát hiện phần mềm độc hại

Trong các cuộc tấn công gần đây nhất, kẻ đứng sau Jupyter đã sử dụng các chứng chỉ hợp lệ để ký điện tử vào phần mềm độc hại để nó có vẻ hợp pháp đối với các công cụ phát hiện phần mềm độc hại. Các tệp này có tên được thiết kế nhằm lừa người dùng mở chúng, với các tiêu đề như “An-nhà tuyển dụng-guide-to-group-health-continuation.exe"Và"Cách thực hiện-chỉnh sửa-trên-A-Word-Document-Permanent.exe".

Các nhà nghiên cứu của VMware đã quan sát thấy phần mềm độc hại tạo nhiều kết nối mạng tới máy chủ C2 của nó để giải mã tải trọng của kẻ đánh cắp thông tin và tải nó vào bộ nhớ, gần như ngay lập tức khi xâm nhập vào hệ thống nạn nhân.

Theo báo cáo của VMware, “Nhắm mục tiêu vào các trình duyệt Chrome, Edge và Firefox, sự lây nhiễm Jupyter sử dụng phương pháp đầu độc SEO và chuyển hướng công cụ tìm kiếm để khuyến khích tải xuống tệp độc hại, vốn là vectơ tấn công ban đầu trong chuỗi tấn công”. “Phần mềm độc hại đã chứng minh khả năng thu thập thông tin xác thực và giao tiếp C2 được mã hóa được sử dụng để lấy cắp dữ liệu nhạy cảm.”

Sự gia tăng đáng lo ngại về kẻ đánh cắp thông tin

Theo nhà cung cấp, Jupyter nằm trong số 10 vụ lây nhiễm thường xuyên nhất mà VMware phát hiện trên mạng khách hàng trong những năm gần đây. Điều đó phù hợp với những gì người khác đã báo cáo về một sự gia tăng mạnh mẽ và đáng lo ngại về việc sử dụng kẻ đánh cắp thông tin sau quá trình chuyển đổi quy mô lớn sang làm việc từ xa tại nhiều tổ chức sau khi đại dịch COVID-19 bắt đầu.

Chim hoàng yến đỏChẳng hạn, đã báo cáo rằng những kẻ đánh cắp thông tin như RedLine, Racoon và Vidar nhiều lần lọt vào danh sách top 10 vào năm 2022. Thông thường, phần mềm độc hại xuất hiện dưới dạng tệp cài đặt giả mạo hoặc bị nhiễm độc cho phần mềm hợp pháp thông qua quảng cáo độc hại hoặc thông qua thao tác SEO. Công ty nhận thấy những kẻ tấn công sử dụng phần mềm độc hại chủ yếu để cố gắng thu thập thông tin xác thực từ những người làm việc từ xa nhằm cho phép truy cập nhanh chóng, liên tục và đặc quyền vào mạng và hệ thống doanh nghiệp.

Các nhà nghiên cứu của Red Canary cho biết: “Không ngành công nghiệp nào tránh khỏi phần mềm độc hại đánh cắp và sự lây lan của phần mềm độc hại như vậy thường mang tính cơ hội, thường thông qua thao túng quảng cáo và SEO”.

Uptycs đã báo cáo một sự gia tăng tương tự và đáng lo ngại trong việc phân phối kẻ đánh cắp thông tin vào đầu năm nay. Dữ liệu mà công ty theo dõi cho thấy số lượng sự cố trong đó kẻ tấn công triển khai công cụ đánh cắp thông tin đã tăng hơn gấp đôi trong quý đầu tiên của năm 2023, so với cùng kỳ năm ngoái. Nhà cung cấp bảo mật đã phát hiện các tác nhân đe dọa sử dụng phần mềm độc hại để đánh cắp tên người dùng và mật khẩu, thông tin trình duyệt như hồ sơ và thông tin tự động điền, thông tin thẻ tín dụng, thông tin ví tiền điện tử và thông tin hệ thống. Theo Uptycs, những kẻ đánh cắp thông tin mới hơn như Rhadamanthys cũng có thể đánh cắp nhật ký từ các ứng dụng xác thực đa yếu tố một cách cụ thể. Nhật ký chứa dữ liệu bị đánh cắp sau đó được bán trên các diễn đàn tội phạm, nơi có nhu cầu lớn về dữ liệu đó.

“Việc lọc dữ liệu bị đánh cắp có một Tác động nguy hiểm đến tổ chức hoặc cá nhân, vì nó có thể dễ dàng được bán trên web đen như một điểm truy cập ban đầu cho các tác nhân đe dọa khác”, các nhà nghiên cứu của Uptycs cảnh báo.

Dấu thời gian:

Thêm từ Đọc tối