El nuevo troyano Jupyter amenaza sus contraseñas y nombres de usuario
Los investigadores de Morphisec han descubierto una nueva cepa de malware. La nueva amenaza es un troyano llamado Jupyter y se dirige principalmente a empresas e instituciones educativas.
Jupyter intenta robar las credenciales de inicio de sesión e instalar puertas traseras en los sistemas comprometidos para permitir más actividad maliciosa por parte de los malos actores detrás de ella. El descubrimiento original del nuevo malware se realizó recientemente, en la red de una institución educativa estadounidense, pero los investigadores creen que ya estaba en uso en la primavera de 2020.
La funcionalidad principal de Jupyter es apuntar a navegadores populares y extraer las credenciales de inicio de sesión de los datos almacenados del navegador. Sin embargo, también puede crear puertas traseras persistentes en los sistemas afectados, dando a los malos actores la capacidad de ejecutar scripts de PowerShell e instalar más paquetes de malware en el sistema de la víctima.
El instalador de Jupyter generalmente se distribuye con un ícono de archivo comprimido falso. Los malos actores detrás de él emplean tácticas típicas de ingeniería social, nombrando el archivo para que parezca algo emocionante o urgente. Una vez que se ejecuta el instalador del malware, en realidad instala herramientas legítimas para ocultar la descarga de carga maliciosa real, lo que ocurre silenciosamente en segundo plano.
Una vez que la carga útil se implementa en el sistema de la víctima, el troyano puede extraer todo tipo de información del navegador, incluidas las cadenas de autocompletado guardadas, las credenciales de inicio de sesión y las cookies. Luego, esta información se transfiere a uno de los servidores de comando y control de Jupyter operados por los ciberdelincuentes.
Lo más probable es que el propósito de este tipo de recopilación de datos no sea la reventa de la información robada, sino la recopilación de datos suficientes para lanzar un ataque más profundo, invasivo y dañino, infiltrándose en la red comprometida.
Los investigadores de seguridad creen que el malware se origina en Rusia, ya que el rastreo de su conexión con los servidores de comando y control reveló ubicaciones en Rusia y una imagen asociada con el panel de control del malware también se encuentra en un foro ruso.