Den nye Jupyter Trojan truer passordene og brukernavnene dine
Forskere med Morphisec har oppdaget en ny stamme av skadelig programvare. Den nye trusselen er en trojan som heter Jupyter og retter seg først og fremst mot bedrifter og utdanningsinstitusjoner.
Jupyter prøver å stjele påloggingsinformasjonen og installere bakdører på de kompromitterte systemene for å tillate ytterligere ondsinnet aktivitet på en del av de dårlige aktørene bak den. Den opprinnelige oppdagelsen av den nye skadelige programvaren ble gjort nylig, på nettverket til en amerikansk utdanningsinstitusjon, men forskere mener at den var i bruk allerede våren 2020.
Jupyters primære funksjonalitet er å målrette mot populære nettlesere og skrape påloggingsinformasjon fra lagrede nettleserdata. Imidlertid kan det også skape vedvarende bakdører på de berørte systemene, noe som gir dårlige skuespillere muligheten til å kjøre PowerShell-skript og installere ytterligere malware-pakker på offerets system.
Jupyter-installasjonsprogrammet distribueres vanligvis med et falskt komprimert filikon. De dårlige skuespillerne bak den bruker typiske sosialtekniske taktikker og navngir filen slik at den ser ut som noe som er spennende eller presserende. Når installasjonsprogrammet for skadelig programvare er utført, installerer det faktisk legitime verktøy for å skjule den faktiske nedlastningen av skadelig nyttelast , som skjer stille i bakgrunnen.
Når nyttelasten er distribuert på offerets system, kan trojaneren skrape all slags nettleserinformasjon, inkludert lagrede autofullføringsstrenger, påloggingsinformasjon og informasjonskapsler. Denne informasjonen blir deretter overført til en av Jupyters kommando- og kontrollservere som drives av nettkriminelle.
Formålet med denne typen datainnsamling er mest sannsynlig ikke videresalg av stjålet informasjon, men heller å samle inn tilstrekkelige data for å starte et dypere, mer invasivt og skadelig angrep, infiltrere det kompromitterte nettverket.
Sikkerhetsforskere mener at malware kommer fra Russland, da sporing av forbindelsen til kommando- og kontrollservere avslørte steder i Russland, og et bilde assosiert med malware-kontrollpanelet finnes også på et russisk forum.
