安全研究人员发现,最近涉及 Jupyter 复杂新变种的攻击有所增加,Jupyter 是一种信息窃取程序,至少自 2020 年以来一直针对 Chrome、Edge 和 Firefox 浏览器的用户。
该恶意软件也称为 Yellow Cockatoo、Solarmarker 和 Polazert,可以对计算机进行后门并收集各种凭据信息,包括计算机名称、用户的管理权限、cookie、Web 数据、浏览器密码管理器信息以及其他敏感数据。受害者系统——例如加密钱包和远程访问应用程序的登录。
持续存在的数据窃取网络威胁
VMware Carbon Black 托管检测和响应 (MDR) 服务的研究人员最近 观察新版本 自 XNUMX 月底以来,该恶意软件利用 PowerShell 命令修改和看似合法的数字签名有效负载,感染的系统数量稳步增加。
VMware 本周在其安全博客中表示:“最近的 Jupyter 感染利用多个证书来签署其恶意软件,从而允许对恶意文件授予信任,从而提供对受害者计算机的初始访问权限。” “这些修改似乎增强了 [Jupyter's] 规避能力,使其保持不显眼。”
吗啡 和 黑莓 此前曾跟踪过 Jupyter 的另外两家供应商已确定该恶意软件能够充当成熟的后门。 他们将其功能描述为包括支持命令和控制 (C2) 通信、充当其他恶意软件的植入程序和加载程序、挖空 shell 代码以逃避检测以及执行 PowerShell 脚本和命令。
黑莓报告称,除了访问 OpenVPN、远程桌面协议和其他远程访问应用程序之外,观察到 Jupyter 还针对加密钱包,例如以太坊钱包、MyMonero 钱包和 Atomic 钱包。
恶意软件的操作者使用了多种技术来传播恶意软件,包括搜索引擎重定向到恶意网站、偷渡式下载、网络钓鱼和 SEO 中毒,或者恶意操纵搜索引擎结果来传播恶意软件。
Jupyter:绕过恶意软件检测
在最近的攻击中,Jupyter 背后的威胁参与者一直在使用有效证书对恶意软件进行数字签名,以便恶意软件检测工具认为它是合法的。 这些文件的名称旨在欺骗用户打开它们,其标题例如“雇主团体健康延续指南.exe“和”如何对 Word 文档进行永久编辑.exe“。
VMware 研究人员观察到该恶意软件与其 C2 服务器建立多个网络连接,以解密信息窃取者有效负载并将其加载到内存中,几乎在登陆受害系统后立即进行。
VMware 的报告称:“Jupyter 感染针对 Chrome、Edge 和 Firefox 浏览器,利用 SEO 中毒和搜索引擎重定向来鼓励恶意文件下载,这是攻击链中的初始攻击媒介。” “该恶意软件展示了用于窃取敏感数据的凭证收集和加密 C2 通信功能。”
信息窃取者的令人不安的增加
据供应商称,Jupyter 是 VMware 近年来在客户端网络上检测到的十大最常见感染之一。 这与其他人的报道一致 急剧且令人担忧的上升 COVID-19 大流行开始后,许多组织大规模转向远程工作,从而导致信息窃取者的使用。
红金丝雀例如,据报道,RedLine、Racoon 和 Vidar 等信息窃取者在 10 年多次跻身前 2022 名。大多数情况下,恶意软件通过恶意广告或 SEO 操纵以虚假或有毒的合法软件安装程序文件的形式出现。 该公司发现攻击者使用该恶意软件主要是试图从远程工作人员那里收集凭据,从而实现对企业网络和系统的快速、持久和特权访问。
红金丝雀研究人员表示:“没有哪个行业能够免受窃取者恶意软件的侵害,此类恶意软件的传播通常是投机性的,通常是通过广告和搜索引擎优化操纵。”
Uptycs 报告了 类似且令人不安的增长 今年早些时候在 infostealer 发行版中。 该公司跟踪的数据显示,与去年同期相比,2023 年第一季度攻击者部署信息窃取程序的事件数量增加了一倍多。 安全供应商发现威胁行为者使用恶意软件窃取用户名和密码、浏览器信息(例如配置文件和自动填充信息)、信用卡信息、加密钱包信息和系统信息。 据 Uptycs 称,Radamanthys 等较新的信息窃取者还可以专门从多因素身份验证应用程序中窃取日志。 包含被盗数据的日志随后会在需求量很大的犯罪论坛上出售。
“被盗数据的泄露 对组织的危险影响 Uptycs 研究人员警告说,它可以很容易地在暗网上出售,作为其他威胁行为者的初始接入点。
- :具有
- :是
- :在哪里
- 10
- 2020
- 2022
- 2023
- 7
- a
- 关于
- ACCESS
- 访问
- 根据
- 演戏
- 演员
- 增加
- 管理员
- 广告
- 后
- 让
- 允许
- 几乎
- 还
- 其中
- an
- 和
- 出现
- 应用领域
- 应用
- 保健
- 围绕
- 抵达
- AS
- At
- 攻击
- 攻击
- 认证
- 后门
- BE
- 很
- 开始
- 背后
- 黑色
- 博客
- 浏览器
- 浏览器
- 营销活动
- CAN
- 能力
- 能力
- 碳
- 卡
- 证书
- 链
- 铬系列
- 客户
- 码
- 沟通
- 通信
- 公司
- 相比
- 一台
- 关于
- 连接
- 一贯
- 控制
- 曲奇饼
- Covid-19
- COVID-19大流行
- 凭据
- 资历
- 信用
- 信用卡
- 刑事
- 网络
- 危险的
- 黑暗
- 黑暗的网络
- data
- 解码
- 交付
- 需求
- 证明
- 部署
- 描述
- 设计
- 通过电脑捐款
- 检测
- 检测
- 数字
- 分发
- 分配
- 加倍
- 下载
- 此前
- 容易
- 边缘
- 启用
- 鼓励
- 加密
- 发动机
- 提高
- 企业
- 复仇
- 以太坊钱包
- 逃税
- 执行
- 渗出
- 假
- 文件
- 档
- 火狐
- (名字)
- 以下
- 针对
- 论坛
- 发现
- 频繁
- 止
- 成熟的
- 运作
- 收集
- 越来越
- 授予
- 收成
- 野生捕捞
- 有
- 重
- HTML
- HTTPS
- 确定
- 立即
- 影响力故事
- in
- 包含
- 增加
- 个人
- 行业中的应用:
- 感染
- info
- 信息
- 初始
- 例
- 成
- 涉及
- IT
- 它的
- JPG
- 着陆
- 大规模
- (姓氏)
- 去年
- 晚了
- 最少
- 合法
- 借力
- 书单
- 加载
- 装载机
- 机
- 机
- 制成
- 主要
- 制作
- 恶意软件
- 恶意软件检测
- 管理
- 经理
- 操纵
- 操作
- 许多
- MDR
- 内存
- 修改
- 更多
- 最先进的
- 多因素身份验证
- 多
- 姓名
- 名称
- 网络
- 网络
- 全新
- 没有
- 数
- 十月
- of
- 经常
- on
- 开放
- 运营商
- or
- 组织
- 其他名称
- 其它
- 流感大流行
- 密码
- 密码管理器
- 密码
- 期间
- 钓鱼
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- PowerShell的
- 先前
- 特权
- 权限
- 简介
- 协议
- 优
- 季
- 快速
- 浣熊
- 最近
- 最近
- 红色
- 简称
- 留
- 远程
- 通过远程访问
- 远程工作
- 远程工作者
- 报告
- 报道
- 研究人员
- 响应
- 成果
- 上升
- s
- 说
- 同
- 脚本
- 搜索
- 搜索引擎
- 保安
- 似乎
- 敏感
- 搜索引擎优化
- 服务器
- 服务
- 壳
- 转移
- 显示
- 签署
- 签
- 自
- So
- 软件
- 出售
- 极致
- 特别是
- 传播
- 稳步
- 被盗
- 这样
- SUPPORT
- 系统
- 产品
- 瞄准
- 技术
- 比
- 这
- 其
- 他们
- 然后
- 那里。
- 博曼
- 他们
- Free Introduction
- 本星期
- 今年
- 威胁
- 威胁者
- 通过
- 时
- 标题
- 至
- 工具
- 最佳
- 返回顶部
- 烦人的
- 信任
- 尝试
- 转
- 二
- 上
- 使用
- 用过的
- 用户
- 用户
- 运用
- 平时
- 利用
- 有效
- 变种
- 各种
- 供应商
- 厂商
- 通过
- 受害者
- VMware的
- 钱包
- 卷筒纸
- 网站
- 周
- 什么是
- 这
- 工作
- 工人
- 年
- 年
- 和风网