Az új Jupyter trójai fenyegeti a jelszavakat és a felhasználóneveket
A Morphisec kutatói újfajta rosszindulatú programot fedeztek fel. Az új veszély egy Jupyter nevű trójai program, amely elsősorban a vállalkozásokat és az oktatási intézményeket célozza meg.
A Jupyter megpróbálja ellopni a bejelentkezési adatokat, és hátsó ajtókat telepíteni a veszélyeztetett rendszerekre, hogy további rosszindulatú tevékenységeket engedélyezhessen a mögötte álló rossz szereplők egy részén. Az új rosszindulatú program eredeti felfedezése csak a közelmúltban történt, egy amerikai oktatási intézmény hálózatán, de a kutatók úgy vélik, hogy már 2020 tavaszán használták.
A Jupyter elsődleges funkciója a népszerű böngészők megcélzása és a bejelentkezési adatok lekaparása a tárolt böngésző adatokból. Ez azonban állandó hátsó ajtókat is létrehozhat az érintett rendszereken, így a rossz szereplők képesek futtatni a PowerShell-szkripteket, és további rosszindulatú program-csomagokat telepíteni az áldozat rendszerére.
A Jupyter telepítő általában hamis tömörített fájl ikonnal kerül terjesztésre. A mögötte álló rossz szereplők tipikus társadalommérnöki taktikákat alkalmaznak, és az aktát úgy nevezik meg, hogy valami izgalmas vagy sürgős legyen. A rosszindulatú program telepítőjének végrehajtása után valóban törvényes eszközöket telepít a tényleges rosszindulatú letöltés elrejtésére, ami csendesen történik a háttérben.
Miután a hasznos teher telepítve van az áldozat rendszerére, a trójai mindenféle böngészőinformációt megkaparhat, beleértve a mentett automatikus kiegészítési karakterláncokat, bejelentkezési adatokat és sütiket. Ezt az információt ezután továbbítják a Jupyter egyik számítógépes bűnöző által üzemeltetett parancs- és vezérlőszerverére.
Az ilyen jellegű adatgyűjtés célja valószínűleg nem az ellopott információk újbóli eladása, hanem elegendő adat gyűjtése egy mélyebb, invazívabb és károsabb támadás elindításához, a beszivárogtatás a hálózatba.
A biztonsági kutatók úgy vélik, hogy a rosszindulatú programok Oroszországból származnak, mivel a parancs- és vezérlõszerverekkel való kapcsolatának nyomon követése Oroszországban tárta fel a helyeket, és a rosszindulatú programok vezérlõpaneljéhez társított kép is megtalálható egy orosz fórumon.