Новый троян Jupyter угрожает вашим паролям и именам пользователей
Исследователи из Morphisec обнаружили новую разновидность вредоносного ПО. Новая угроза - это троянец Jupyter, нацеленный в первую очередь на предприятия и учебные заведения.
Jupyter пытается украсть учетные данные и установить бэкдоры в скомпрометированных системах, чтобы допустить дальнейшую злонамеренную активность со стороны злоумышленников, стоящих за ним. Первоначальное открытие нового вредоносного ПО было сделано совсем недавно в сети американского учебного заведения, но исследователи полагают, что оно использовалось уже весной 2020 года.
Основная функция Jupyter - нацеливаться на популярные браузеры и извлекать учетные данные для входа из сохраненных данных браузера. Однако он также может создавать постоянные бэкдоры в уязвимых системах, давая злоумышленникам возможность запускать сценарии PowerShell и устанавливать дополнительные пакеты вредоносных программ в системе жертвы.
Установщик Jupyter обычно распространяется с поддельным значком сжатого файла. Злоумышленники, стоящие за этим, используют типичную тактику социальной инженерии, называя файл так, чтобы он выглядел либо как что-то захватывающее или срочное. После запуска установщика вредоносного ПО он фактически устанавливает законные инструменты, чтобы скрыть фактическую загрузку вредоносной полезной нагрузки , которая происходит незаметно в фоновом режиме.
После развертывания полезной нагрузки в системе жертвы троянец может очистить все виды информации браузера, включая сохраненные строки автозаполнения, учетные данные для входа и файлы cookie. Затем эта информация передается на один из серверов управления и контроля Jupyter, которым управляют киберпреступники.
Целью такого сбора данных, скорее всего, является не перепродажа украденной информации, а сбор достаточного количества данных для запуска более глубокой, более инвазивной и разрушительной атаки, проникающей в скомпрометированную сеть.
Исследователи безопасности считают, что вредоносное ПО происходит из России, поскольку отслеживание его подключения к серверам управления и контроля позволило выявить местоположения в России, а изображение, связанное с панелью управления вредоносным ПО, также можно найти на российском форуме.
