O novo cavalo de Tróia Jupyter ameaça suas senhas e nomes de usuário
Pesquisadores com Morphisec descobriram uma nova cepa de malware. A nova ameaça é um Trojan chamado Jupyter e visa principalmente empresas e instituições educacionais.
O Jupyter tenta roubar credenciais de login e instalar backdoors nos sistemas comprometidos para permitir mais atividades maliciosas por parte dos malfeitores por trás disso. A descoberta original do novo malware foi feita apenas recentemente, na rede de uma instituição educacional americana, mas os pesquisadores acreditam que ele já estava em uso na primavera de 2020.
A principal funcionalidade do Jupyter é direcionar os navegadores populares e raspar as credenciais de login dos dados armazenados do navegador. No entanto, ele também pode criar backdoors persistentes nos sistemas afetados, dando aos malfeitores a capacidade de executar scripts do PowerShell e instalar outros pacotes de malware no sistema da vítima.
O instalador do Jupyter geralmente é distribuído com um ícone de arquivo compactado falso. Os malfeitores por trás dele empregam táticas típicas de engenharia social, nomeando o arquivo para parecer algo empolgante ou urgente. Depois que o instalador do malware é executado, ele instala ferramentas legítimas para ocultar o download real da carga maliciosa , que acontece silenciosamente em segundo plano.
Uma vez que a carga é implantada no sistema da vítima, o Trojan pode raspar todos os tipos de informações do navegador, incluindo strings de autocompletar salvas, credenciais de login e cookies. Essas informações são então transferidas para um dos servidores de comando e controle da Jupyter operados pelos cibercriminosos.
O objetivo desse tipo de coleta de dados provavelmente não é a revenda das informações roubadas, mas sim a coleta de dados suficientes para lançar um ataque mais profundo, invasivo e prejudicial, infiltrando-se na rede comprometida.
Os pesquisadores de segurança acreditam que o malware se origina da Rússia, já que o rastreamento de sua conexão com os servidores de comando e controle revelou locais na Rússia e uma imagem associada ao painel de controle do malware também foi encontrada em um fórum russo.
