Der neue Jupyter-Trojaner bedroht Ihre Passwörter und Benutzernamen
Forscher mit Morphisec haben eine neue Art von Malware entdeckt. Die neue Bedrohung ist ein Trojaner namens Jupyter, der sich hauptsächlich an Unternehmen und Bildungseinrichtungen richtet.
Jupyter versucht, Anmeldeinformationen zu stehlen und Hintertüren auf den gefährdeten Systemen zu installieren, um weitere böswillige Aktivitäten seitens der schlechten Akteure dahinter zu ermöglichen. Die ursprüngliche Entdeckung der neuen Malware wurde erst kürzlich im Netzwerk einer amerikanischen Bildungseinrichtung gemacht, aber Forscher glauben, dass sie bereits im Frühjahr 2020 verwendet wurde.
Die Hauptfunktionalität von Jupyter besteht darin, auf gängige Browser abzuzielen und Anmeldeinformationen aus gespeicherten Browserdaten zu entfernen. Es kann jedoch auch dauerhafte Hintertüren auf den betroffenen Systemen erstellen, sodass schlechte Akteure PowerShell-Skripts ausführen und weitere Malware-Pakete auf dem System des Opfers installieren können.
Das Jupyter-Installationsprogramm wird normalerweise mit einem gefälschten komprimierten Dateisymbol verteilt. Die schlechten Schauspieler dahinter wenden typische Social-Engineering-Taktiken an und benennen die Datei so, dass sie entweder aufregend oder dringend aussieht. Sobald das Installationsprogramm der Malware ausgeführt wurde, werden legitime Tools installiert, um den tatsächlichen Download der schädlichen Nutzdaten zu verbergen, was im Hintergrund leise geschieht.
Sobald die Nutzdaten auf dem System des Opfers bereitgestellt sind, kann der Trojaner alle Arten von Browserinformationen entfernen, einschließlich gespeicherter Zeichenfolgen für die automatische Vervollständigung, Anmeldeinformationen und Cookies. Diese Informationen werden dann an einen der von den Cyberkriminellen betriebenen Befehls- und Kontrollserver von Jupyter übertragen.
Der Zweck dieser Art der Datenerfassung ist höchstwahrscheinlich nicht der Weiterverkauf der gestohlenen Informationen, sondern das Sammeln ausreichender Daten, um einen tieferen, invasiveren und schädlicheren Angriff zu starten, der das gefährdete Netzwerk infiltriert.
Sicherheitsforscher glauben, dass die Malware aus Russland stammt, da die Verfolgung ihrer Verbindung zu Befehls- und Kontrollservern Standorte in Russland enthüllte und ein Bild, das mit dem Kontrollfeld der Malware verknüpft ist, auch in einem russischen Forum gefunden wird.