Jupyter Infostealer

Jupyter Infostealer è un nuovo ceppo di un malware .NET progettato per raccogliere dati specifici dai computer compromessi. La minaccia sembra colpire tre gruppi principali di browser tradizionali: Chrome, browser basato su Chromium e Firefox. Le minacciose operazioni di Jupyter sono state estese a un livello che va oltre un semplice infostealer con l'aggiunta di funzionalità backdoor. La minaccia ha un'infrastruttura Command-and-Control (C2, C&C) consolidata, può scaricare ed eseguire payload malware aggiuntivi ed eseguire comandi e script PowerShell arbitrari.

Secondo i ricercatori di Morphisec, questa particolare minaccia di infostealer è stata sviluppata da un gruppo di hacker russo o di lingua russa. Molteplici fatti supportano la conclusione del ricercatore: una parte significativa dell'infrastruttura C2 configurata per Jupyter si trova in Russia, un errore di battitura del Jupyter trovato nel codice della minaccia è comune quando il nome viene convertito dal russo e immagini piuttosto indicative di Il pannello di amministrazione di Jupyter è stato scoperto come post su un forum di hacker russo.

La catena di attacchi di Jupyter Infostealer inizia con la diffusione di e-mail di phishing che contengono allegati di archivio avvelenati. Gli archivi .ZIP contengono il programma di installazione danneggiato della minaccia camuffato da innocente documento di Word. Gli hacker utilizzano diversi nomi per i documenti contenenti malware nel tentativo di indurre la vittima a eseguirli. Alcuni dei nomi includono:

• "Sample-Letter-For-Emergency-Travel-Document.exe"
• "The-Electoral-Process-Worksheet-Key.exe"
• "Excel-Pay-Increase-Spreadsheet-Turotial-Bennett.exe"
• "Mathematical-Concepts-Precalculus-With-Applications-Solutions.exe."

Se la vittima cade per la trappola, il programma di installazione procederà a iniettare un caricatore .NET in memoria attraverso una tecnica di svuotamento del processo. Il processo agisce come un client C2, in ascolto dei comandi inviati dagli aggressori. La fase successiva della catena di attacchi consiste nel scaricare un comando PowerShell responsabile dell'esecuzione in memoria del modulo Jupyter Infostealer .NET.

L'analisi di diversi campioni di Jupyter mostra che la minaccia è in fase di sviluppo attivo che potrebbe espandere ulteriormente la sua potenza. Ad esempio, in un secondo momento, le versioni di Jupyter possono ottenere la persistenza sul sistema compromesso: attraverso l'uso del framework PoshC2, un file .LNK di collegamento viene inserito nella cartella di avvio del sistema operativo.