新しいJupyterTrojanがパスワードとユーザー名を脅かす
Morphisecの研究者は、マルウェアの新種を発見しました。新しい脅威はJupyterという名前のトロイの木馬で、主に企業や教育機関を標的としています。
Jupyterは、ログイン資格情報を盗み、侵害されたシステムにバックドアをインストールして、背後にいる悪意のある攻撃者の一部にさらに悪意のあるアクティビティを許可しようとします。新しいマルウェアの最初の発見は、アメリカの教育機関のネットワーク上で最近行われたばかりですが、研究者は、2020年の春には早くも使用されていたと信じています。
Jupyterの主な機能は、人気のあるブラウザをターゲットにして、保存されているブラウザデータからログイン資格情報を取得することです。ただし、影響を受けるシステムに永続的なバックドアを作成し、悪意のある攻撃者がPowerShellスクリプトを実行して、被害者のシステムにさらにマルウェアパッケージをインストールできるようにすることもできます。
Jupyterインストーラーは通常、偽の圧縮ファイルアイコンとともに配布されます。その背後にある悪意のある人物は、典型的なソーシャルエンジニアリングの戦術を採用しており、ファイルに刺激的または緊急の何かのように名前を付けています。マルウェアのインストーラーが実行されると、実際には正当なツールがインストールされ、バックグラウンドで静かに行われる実際の悪意のあるペイロードのダウンロードが隠されます。
ペイロードが被害者のシステムに展開されると、トロイの木馬は、保存されたオートコンプリート文字列、ログイン資格情報、Cookieなど、あらゆる種類のブラウザ情報を取得できます。次に、この情報は、サイバー犯罪者が運営するJupyterのコマンドアンドコントロールサーバーの1つに転送されます。
この種のデータ収集の目的は、盗まれた情報の再販売ではなく、侵害されたネットワークに侵入する、より深く、より侵襲的で損害を与える攻撃を開始するのに十分なデータを収集することです。
セキュリティ研究者は、コマンドアンドコントロールサーバーへの接続を追跡するとロシア内の場所が明らかになり、マルウェアのコントロールパネルに関連付けられた画像もロシアのフォーラムで見つかったため、マルウェアはロシアから発信されたと考えています。