Den nye Jupyter Trojan truer dine adgangskoder og brugernavne

Forskere med Morphisec har opdaget en ny stamme af malware. Den nye trussel er en trojan ved navn Jupyter og er primært rettet mod virksomheder og uddannelsesinstitutioner.

Jupyter forsøger at stjæle loginoplysninger og installere bagdøre på de kompromitterede systemer for at tillade yderligere ondsindet aktivitet på en del af de dårlige aktører bag det. Den oprindelige opdagelse af den nye malware blev først gjort for nylig på netværket af en amerikansk uddannelsesinstitution, men forskere mener, at den var i brug allerede i foråret 2020.

Jupyters primære funktionalitet er at målrette mod populære browsere og skrabe loginoplysninger fra gemte browserdata. Det kan dog også skabe vedvarende bagdøre på de berørte systemer, hvilket giver dårlige aktører muligheden for at køre PowerShell-scripts og installere yderligere malware-pakker på offerets system.

Jupyter-installationsprogrammet distribueres normalt med et falsk komprimeret filikon. De dårlige skuespillere bag det anvender typiske socialtekniske taktikker og navngiver filen til at ligne noget, der enten er spændende eller presserende. Når malware-installationsprogrammet er udført, installerer det faktisk legitime værktøjer til at skjule den faktiske ondsindede download af downloadet, hvilket sker stille i baggrunden.

Når nyttelasten er implementeret på offerets system, kan trojaneren skrabe alle slags browseroplysninger, herunder gemte autofuldførelsesstrenge, loginoplysninger og cookies. Disse oplysninger overføres derefter til en af Jupyters kommando- og kontrolservere, der drives af cyberkriminelle.

Formålet med denne form for dataindsamling er sandsynligvis ikke videresalg af de stjålne oplysninger, men snarere at indsamle tilstrækkelige data til at starte et dybere, mere invasivt og skadeligt angreb, der infiltrerer det kompromitterede netværk.

Sikkerhedsforskere mener, at malware stammer fra Rusland, da sporing af forbindelsen til kommando- og kontrolservere afslørede placeringer i Rusland, og et billede forbundet med malwareens kontrolpanel findes også på et russisk forum.