Jupyter Infostealer

Jupyter Infostealer er en ny stamme af en .NET-malware, der er designet til at høste specifikke data fra kompromitterede computere. Truslen ser ud til at være rettet mod tre hovedgrupper i mainstream-browseren - Chrome, Chromium-baseret browser og Firefox. Jupyters truende operationer er blevet udvidet til et niveau ud over en simpel infostealer med tilføjelse af bagdørskapaciteter. Truslen har en etableret Command-and-Control (C2, C&C) infrastruktur, den kan downloade og udføre yderligere malware-nyttelast og udføre vilkårlige PowerShell-kommandoer og scripts.

Ifølge forskerne ved Morphisec er denne særlige infostealer-trussel blevet udviklet af en russisk-baseret eller russisk-talende hacker-gruppe. Flere fakta understøtter forskerens konklusion - en væsentlig del af C2-infrastrukturen, der er oprettet for Jupyter, er placeret i Rusland, en typografi af Jupyteren, der findes i trusselkoden, er almindelig, når navnet konverteres fra russisk og ganske talende billeder af Jupyters administrationspanel er blevet opdaget som indlæg på et russisk hackerforum.

Jupyter Infostealers angrebskæde begynder med formidling af phishing-e-mails med forgiftede arkivvedhæftninger. .ZIP-arkiverne indeholder den beskadigede installatør af truslen forklædt som et uskyldigt Word-dokument. Hackerne bruger flere forskellige navne til de dokumenter, der er knyttet til malware, i et forsøg på at lokke offeret til at udføre dem. Nogle af navnene inkluderer:

• 'Prøve-brev-til-nødsituation-rejsedokument.exe'
• 'The-Electoral-Process-Worksheet-Key.exe'
• 'Excel-betal-forøg-regneark-Turotial-Bennett.exe'
• 'Matematiske begreber-Precalculus-With-Applications-Solutions.exe.'

Hvis offeret falder ned for fælden, fortsætter installationsprogrammet med at indsprøjte en .NET-læsser i hukommelsen gennem en proceshulningsteknik. Processen fungerer som en C2-klient og lytter til kommandoer sendt af angriberne. Den næste fase af angrebskæden består i at downloade en PowerShell-kommando, der er ansvarlig for at udføre Jupyter Infostealer .NET-modulet i hukommelsen.

Analyse af flere Jupyter-prøver viser, at truslen er under aktiv udvikling, der yderligere kan udvide dens styrke. For eksempel kan Jupyter-versioner senere opnå vedholdenhed på det kompromitterede system - ved hjælp af PoshC2-rammen placeres en genvej .LNK-fil i startmappen i operativsystemet.