Nowy trojan Jupyter zagraża Twoim hasłom i nazwom użytkownika
Badacze z Morphisec odkryli nowy szczep złośliwego oprogramowania. Nowym zagrożeniem jest trojan o nazwie Jupyter, którego celem są przede wszystkim firmy i instytucje edukacyjne.
Jupyter próbuje ukraść dane logowania i zainstalować tylne drzwi w zaatakowanych systemach, aby umożliwić dalsze złośliwe działania ze strony złych aktorów. Pierwszego odkrycia nowego złośliwego oprogramowania dokonano dopiero niedawno w sieci amerykańskiej instytucji edukacyjnej, ale badacze uważają, że był on używany już wiosną 2020 roku.
Podstawową funkcją Jupyter jest kierowanie na popularne przeglądarki i pobieranie danych logowania z przechowywanych danych przeglądarki. Jednak może również tworzyć trwałe backdoory w systemach, których dotyczy luka, dając złym aktorom możliwość uruchamiania skryptów PowerShell i instalowania kolejnych pakietów złośliwego oprogramowania w systemie ofiary.
Instalator Jupyter jest zwykle dystrybuowany z fałszywą ikoną skompresowanego pliku. Źli aktorzy, którzy za tym stoją, stosują typową taktykę socjotechniki, nazywając plik tak, aby wyglądał na coś ekscytującego lub pilnego. Po uruchomieniu instalatora szkodliwego oprogramowania w rzeczywistości instaluje on legalne narzędzia, aby ukryć faktyczne pobieranie złośliwego ładunku , co odbywa się cicho w tle.
Gdy ładunek zostanie wdrożony w systemie ofiary, trojan może zeskrobać wszelkiego rodzaju informacje przeglądarki, w tym zapisane ciągi autouzupełniania, dane logowania i pliki cookie. Informacje te są następnie przesyłane do jednego z serwerów dowodzenia i kontroli firmy Jupyter, obsługiwanych przez cyberprzestępców.
Celem tego rodzaju gromadzenia danych najprawdopodobniej nie jest odsprzedaż skradzionych informacji, ale raczej zebranie wystarczających danych do przeprowadzenia głębszego, bardziej inwazyjnego i niszczącego ataku, infiltracji zaatakowanej sieci.
Badacze bezpieczeństwa uważają, że złośliwe oprogramowanie pochodzi z Rosji, ponieważ śledzenie jego połączenia z serwerami dowodzenia i kontroli ujawniło lokalizacje w Rosji, a obraz powiązany z panelem sterowania szkodliwego oprogramowania znajduje się również na rosyjskim forum.