Nová verzia škodlivého softvéru Jupyter sa distribuuje prostredníctvom inštalátorov MSI

Výskumníci v oblasti kybernetickej bezpečnosti zmapovali vývoj Jupyter, .NET infostealer, ktorý je známy tým, že vyčleňuje sektory zdravotníctva a vzdelávania, vďaka ktorým je výnimočný v porážke väčšiny riešení bezpečnostného skenovania koncových bodov.

Nový dodávateľský reťazec, ktorý si všimol Morphisec v septembri 8, zdôrazňuje, že malvér nielenže zostal aktívny, ale tiež ukazuje, „ako aktéri hrozieb naďalej vyvíjajú svoje útoky, aby boli efektívnejšie a vyhýbali sa im“. Izraelská spoločnosť uviedla, že v súčasnosti vyšetruje rozsah a rozsah útokov.

Prvýkrát zdokumentovaný v novembri 2020, Jupyter (aka Solarmarker) je pravdepodobne ruského pôvodu a primárne sa zameriava na údaje prehliadača Chromium, Firefox a Chrome s ďalšími funkciami, ktoré umožňujú plnú funkčnosť zadných vrátok vrátane funkcií na nasávanie informácií a nahrávanie podrobností na diaľkové ovládanie. server a stiahnuť a spustiť ďalšie užitočné zaťaženie. Forenzné dôkazy zhromaždené spoločnosťou Morphisec ukazujú, že od mája 2020 sa začali objavovať viaceré verzie Jupyter.

V auguste 2021 spoločnosť Cisco Talos pripísala prieniky „pomerne sofistikovanému aktérovi, ktorý sa vo veľkej miere zameriaval na krádeže poverení a zvyškových informácií“. Spoločnosť zaoberajúca sa kybernetickou bezpečnosťou CrowdStrike začiatkom februára opísala tento malvér ako balík viacstupňového, silne zmäteného zavádzača PowerShell, čo vedie k spusteniu zadného vrátka skompilovaného v .NET.

Zatiaľ čo predchádzajúce útoky zahŕňali legitímne binárne súbory známeho softvéru, ako sú Docx2Rtf a Expert PDF, najnovší reťazec doručovania využíva inú aplikáciu PDF s názvom Nitro Pro. Útoky sa začínajú nasadením užitočného zaťaženia inštalačného programu MSI, ktorý má veľkosť viac ako 100 MB, čo im umožňuje obísť antimalvérové ​​motory a je zahmlené pomocou sprievodcu balíkom aplikácií tretej strany s názvom Advanced Installer.

Spustenie užitočného zaťaženia MSI vedie k spusteniu zavádzača PowerShell zabudovaného do legitímneho binárneho systému Nitro Pro 13, ktorého dva varianty boli pozorované podpísané platným certifikátom patriacim skutočnej firme v Poľsku, čo naznačuje možné odcudzenie identity alebo krádež certifikátu. Loader v konečnej fáze dekóduje a spustí in-memory modul Jupyter .NET.

„Vývoj infostealer/zadných dvierok Jupyter od doby, kedy sme ho prvýkrát identifikovali v roku 2020, dokazuje pravdivosť tvrdenia, že aktéri hrozieb vždy inovujú,“ povedal výskumník Morphisec Nadav Lorber. “To, že tento útok má naďalej nízku alebo žiadnu detekciu na VirusTotal, ďalej naznačuje, akým spôsobom sa aktéri hrozieb vyhýbajú riešeniam založeným na detekcii.”