Jupyter Infostealer
De Jupyter Infostealer is een nieuwe stam van een .NET-malware die is ontworpen om specifieke gegevens van de besmette computers te verzamelen. De dreiging lijkt zich te richten op drie grote groepen reguliere browsers: Chrome, Chromium-gebaseerde browser en Firefox. De dreigende operaties van Jupyter zijn uitgebreid tot een niveau dat verder gaat dan een eenvoudige infostealer met de toevoeging van backdoor-mogelijkheden. De bedreiging heeft een gevestigde Command-and-Control-infrastructuur (C2, C&C), kan aanvullende malware-payloads downloaden en uitvoeren en willekeurige PowerShell-opdrachten en -scripts uitvoeren.
Volgens de onderzoekers van Morphisec is deze specifieke infostealer-dreiging ontwikkeld door een Russisch of Russisch sprekende hackergroep. Meerdere feiten ondersteunen de conclusie van de onderzoeker - een aanzienlijk deel van de C2-infrastructuur die voor Jupyter is opgezet, bevindt zich in Rusland, een typefout van de Jupyter in de code van de dreiging komt vaak voor wanneer de naam wordt omgezet uit het Russisch, en heel veelzeggende afbeeldingen van Het administratiepaneel van Jupyter is ontdekt als berichten op een Russisch hackerforum.
De aanvalsketen van de Jupyter Infostealer begint met de verspreiding van phishing-e-mails met vergiftigde archiefbijlagen. De .ZIP-archieven bevatten het beschadigde installatieprogramma van de dreiging, vermomd als een onschuldig Word-document. De hackers gebruiken verschillende namen voor de met malware besmeurde documenten in een poging het slachtoffer ertoe te verleiden ze uit te voeren. Enkele van de namen zijn:
- 'Voorbeeldbrief-voor-nood-reisdocument.exe'
- 'The-Electoral-Process-Worksheet-Key.exe'
- 'Excel-Pay-Increase-Spreadsheet-Turotial-Bennett.exe'
- 'Mathematical-Concepts-Precalculus-With-Applications-Solutions.exe.'
Als het slachtoffer voor de val valt, gaat het installatieprogramma door met het injecteren van een .NET-lader in het geheugen via een procesuithollingstechniek. Het proces fungeert als een C2-client en luistert naar commando's van de aanvallers. De volgende fase van de aanvalsketen bestaat uit het downloaden van een PowerShell-opdracht die verantwoordelijk is voor het uitvoeren van de Jupyter Infostealer .NET-module in het geheugen.
Analyse van verschillende Jupyter-monsters toont aan dat de dreiging in actieve ontwikkeling is die de potentie ervan verder zou kunnen vergroten. Later kunnen Jupyter-versies bijvoorbeeld persistentie bereiken op het gecompromitteerde systeem - door het gebruik van het PoshC2-framework wordt een snelkoppeling .LNK-bestand in de opstartmap van het besturingssysteem geplaatst.
