Le nouveau cheval de Troie Jupyter menace vos mots de passe et noms d'utilisateur
Les chercheurs de Morphisec ont découvert une nouvelle souche de malware. La nouvelle menace est un cheval de Troie nommé Jupyter et cible principalement les entreprises et les établissements d'enseignement.
Jupyter tente de voler les informations de connexion et d'installer des portes dérobées sur les systèmes compromis pour permettre une nouvelle activité malveillante de la part des mauvais acteurs derrière. La découverte originale du nouveau malware n'a été faite que récemment, sur le réseau d'un établissement d'enseignement américain, mais les chercheurs pensent qu'il était en usage dès le printemps 2020.
La fonctionnalité principale de Jupyter est de cibler les navigateurs populaires et de récupérer les informations de connexion des données de navigateur stockées. Cependant, il peut également créer des portes dérobées persistantes sur les systèmes affectés, donnant aux acteurs malveillants la possibilité d'exécuter des scripts PowerShell et d'installer d'autres packages de logiciels malveillants sur le système de la victime.
Le programme d'installation de Jupyter est généralement distribué avec une fausse icône de fichier compressé. Les mauvais acteurs qui le sous-tendent emploient des tactiques d'ingénierie sociale typiques, nommant le fichier pour qu'il ressemble à quelque chose d'excitant ou d'urgent. Une fois le programme d'installation du logiciel malveillant exécuté, il installe en fait des outils légitimes pour masquer le téléchargement réel de la charge utile malveillante , qui se produit silencieusement en arrière-plan.
Une fois la charge utile déployée sur le système de la victime, le cheval de Troie peut récupérer toutes sortes d'informations sur le navigateur, y compris les chaînes de saisie semi-automatique enregistrées, les informations de connexion et les cookies. Ces informations sont ensuite transférées vers l'un des serveurs de commande et de contrôle de Jupyter exploités par les cybercriminels.
Le but de ce type de collecte de données n'est probablement pas la revente des informations volées, mais plutôt la collecte de données suffisantes pour lancer une attaque plus profonde, plus invasive et plus dommageable, infiltrant le réseau compromis.
Les chercheurs en sécurité pensent que le malware est originaire de Russie, car le traçage de sa connexion aux serveurs de commande et de contrôle a révélé des emplacements en Russie et une image associée au panneau de contrôle du malware se trouve également sur un forum russe.