Den nya Jupyter Trojan hotar dina lösenord och användarnamn
Forskare med Morphisec har upptäckt en ny typ av skadlig kod. Det nya hotet är en trojan som heter Jupyter och riktar sig främst till företag och utbildningsinstitutioner.
Jupyter försöker stjäla inloggningsuppgifter och installera bakdörrar på de komprometterade systemen för att tillåta ytterligare skadlig aktivitet hos en del av de dåliga aktörerna bakom den. Den ursprungliga upptäckten av den nya skadliga programvaran gjordes nyligen på nätverket av en amerikansk utbildningsinstitution, men forskare tror att den var i bruk redan våren 2020.
Jupyters primära funktionalitet är att rikta in sig på populära webbläsare och skrapa inloggningsuppgifter från lagrad webbläsardata. Det kan dock också skapa ihållande bakdörrar på de drabbade systemen, vilket ger dåliga aktörer möjlighet att köra PowerShell-skript och installera ytterligare skadliga paket på offrets system.
Jupyter-installationsprogrammet distribueras vanligtvis med en falsk komprimerad filikon. De dåliga skådespelarna bakom den använder typiska socialtekniska taktiker och namnger filen för att se ut som något som är antingen spännande eller brådskande. När malware-installationsprogrammet har körts installerar det faktiskt legitima verktyg för att dölja den faktiska nedladdningen av skadlig nyttolast , vilket händer tyst i bakgrunden.
När nyttolasten har distribuerats på offrets system kan Trojan skrapa all slags webbläsarinformation, inklusive sparade autofullständiga strängar, inloggningsuppgifter och cookies. Denna information överförs sedan till en av Jupyters kommando- och styrservrar som drivs av cyberkriminella.
Syftet med denna typ av datainsamling är sannolikt inte återförsäljning av den stulna informationen utan snarare insamling av tillräcklig information för att starta en djupare, mer invasiv och skadlig attack, som infiltrerar det komprometterade nätverket.
Säkerhetsforskare tror att skadlig programvara kommer från Ryssland, eftersom spårning av dess anslutning till kommando- och styrservrar avslöjade platser i Ryssland och en bild associerad med skadlig programvara finns också på ett ryskt forum.