Il nuovo trojan Jupyter minaccia le tue password e nomi utente
I ricercatori di Morphisec hanno scoperto un nuovo ceppo di malware. La nuova minaccia è un Trojan denominato Jupyter e prende di mira principalmente le aziende e le istituzioni educative.
Jupyter tenta di rubare le credenziali di accesso e installare backdoor sui sistemi compromessi per consentire ulteriori attività dannose da parte dei malintenzionati dietro di esso. La scoperta originale del nuovo malware è stata fatta solo di recente, sulla rete di un istituto scolastico americano, ma i ricercatori ritengono che fosse in uso già nella primavera del 2020.
La funzionalità principale di Jupyter è quella di indirizzare i browser più diffusi e di estrarre le credenziali di accesso dai dati del browser memorizzati. Tuttavia, può anche creare backdoor persistenti sui sistemi interessati, dando ai malintenzionati la possibilità di eseguire script PowerShell e installare ulteriori pacchetti malware sul sistema della vittima.
Il programma di installazione di Jupyter viene solitamente distribuito con un'icona di file compresso falso. I cattivi attori dietro di esso impiegano tipiche tattiche di ingegneria sociale, nominando il file in modo che assomigli a qualcosa di eccitante o urgente. Una volta che il programma di installazione del malware viene eseguito, installa effettivamente strumenti legittimi per nascondere il download effettivo del payload dannoso , che avviene silenziosamente in background.
Una volta che il payload viene distribuito sul sistema della vittima, il Trojan può raccogliere tutti i tipi di informazioni del browser, comprese le stringhe di completamento automatico salvate, le credenziali di accesso e i cookie. Queste informazioni vengono quindi trasferite a uno dei server di comando e controllo di Jupyter gestiti dai criminali informatici.
Lo scopo di questo tipo di raccolta dati molto probabilmente non è la rivendita delle informazioni rubate, ma piuttosto la raccolta di dati sufficienti per lanciare un attacco più profondo, più invasivo e dannoso, infiltrandosi nella rete compromessa.
I ricercatori di sicurezza ritengono che il malware provenga dalla Russia, poiché il tracciamento della sua connessione ai server di comando e controllo ha rivelato posizioni in Russia e un'immagine associata al pannello di controllo del malware si trova anche su un forum russo.