Το νέο Jupyter Trojan απειλεί τους κωδικούς πρόσβασης και τα ονόματά σας
Οι ερευνητές με το Morphisec ανακάλυψαν ένα νέο στέλεχος κακόβουλου λογισμικού. Η νέα απειλή είναι ένας Τρώος που ονομάζεται Jupyter και απευθύνεται κυρίως σε επιχειρήσεις και εκπαιδευτικά ιδρύματα.
Ο Jupyter προσπαθεί να κλέψει τα διαπιστευτήρια σύνδεσης και να εγκαταστήσει backdoors στα παραβιασμένα συστήματα για να επιτρέψει περαιτέρω κακόβουλη δραστηριότητα από τους κακούς παράγοντες πίσω από αυτό. Η αρχική ανακάλυψη του νέου κακόβουλου λογισμικού έγινε μόλις πρόσφατα, στο δίκτυο ενός αμερικανικού εκπαιδευτικού ιδρύματος, αλλά οι ερευνητές πιστεύουν ότι το χρησιμοποιούσε ήδη την άνοιξη του 2020.
Η κύρια λειτουργικότητα του Jupyter είναι να στοχεύει δημοφιλή προγράμματα περιήγησης και να αποσύρει τα διαπιστευτήρια σύνδεσης από αποθηκευμένα δεδομένα προγράμματος περιήγησης. Ωστόσο, μπορεί επίσης να δημιουργήσει επίμονα backdoors στα επηρεαζόμενα συστήματα, δίνοντας σε κακούς ηθοποιούς τη δυνατότητα να εκτελούν σενάρια PowerShell και να εγκαθιστούν περαιτέρω πακέτα κακόβουλου λογισμικού στο σύστημα του θύματος.
Το πρόγραμμα εγκατάστασης του Jupyter διανέμεται συνήθως με ένα ψεύτικο εικονίδιο συμπιεσμένου αρχείου. Οι κακοί ηθοποιοί πίσω από αυτό χρησιμοποιούν τυπικές τακτικές κοινωνικής μηχανικής, ονομάζοντας το αρχείο ώστε να μοιάζει με κάτι που είναι συναρπαστικό ή επείγον. Μόλις εκτελεστεί το πρόγραμμα εγκατάστασης του κακόβουλου λογισμικού, εγκαθιστά πραγματικά νόμιμα εργαλεία για την απόκρυψη της πραγματικής κακόβουλης λήψης ωφέλιμου φορτίου , η οποία συμβαίνει ήσυχα στο παρασκήνιο.
Μόλις αναπτυχθεί το ωφέλιμο φορτίο στο σύστημα του θύματος, ο Trojan μπορεί να αποκόψει κάθε είδους πληροφορίες προγράμματος περιήγησης, συμπεριλαμβανομένων αποθηκευμένων συμβολοσειρών αυτόματης συμπλήρωσης, διαπιστευτηρίων σύνδεσης και cookie. Αυτές οι πληροφορίες μεταφέρονται στη συνέχεια σε έναν από τους διακομιστές εντολών και ελέγχου του Jupyter που διαχειρίζονται οι εγκληματίες του κυβερνοχώρου.
Ο σκοπός αυτής της συλλογής δεδομένων είναι πιθανότατα όχι η εκ νέου πώληση των κλεμμένων πληροφοριών, αλλά μάλλον η συλλογή επαρκών δεδομένων για την εκκίνηση μιας βαθύτερης, πιο επεμβατικής και καταστροφικής επίθεσης, διεισδύοντας στο συμβιβασμένο δίκτυο.
Οι ερευνητές ασφαλείας πιστεύουν ότι το κακόβουλο λογισμικό προέρχεται από τη Ρωσία, καθώς εντοπίζει τη σύνδεσή του με διακομιστές εντολών και ελέγχου αποκάλυψε τοποθεσίες στη Ρωσία και μια εικόνα που σχετίζεται με τον πίνακα ελέγχου του κακόβουλου λογισμικού βρίσκεται επίσης σε ένα ρωσικό φόρουμ.
