Jupyter Infostealer
O Jupyter Infostealer é um novo tipo de malware .NET que foi projetado para coletar dados específicos dos computadores comprometidos. A ameaça parece ter como alvo três grupos principais de navegadores convencionais - Chrome, navegador baseado em Chromium e Firefox. As operações ameaçadoras do Jupyter foram expandidas para um nível além de um simples infostealer com a adição de recursos de backdoor. A ameaça tem uma infraestrutura estabelecida de Comando e Controle (C2, C&C), pode baixar e executar cargas de malware adicionais e executar comandos e scripts PowerShell arbitrários.
De acordo com os pesquisadores da Morphisec, essa ameaça infostealer, em particular, foi desenvolvida por um grupo de hackers russo ou de língua russa. Vários fatos apoiam a conclusão do pesquisador - uma parte significativa da infraestrutura C2 configurada para Jupyter está localizada na Rússia, um erro de digitação do Jupyter encontrado no código da ameaça é comum quando o nome é convertido do russo, e imagens bastante reveladoras de O painel de administração do Jupyter foi descoberto como uma postagem em um fórum de hackers russo.
A cadeia de ataque do Jupyter Infostealer começa com a disseminação de e-mails de phishing que carregam anexos de arquivo envenenados. Os arquivos .ZIP contêm o instalador corrompido da ameaça, disfarçado como um documento do Word inocente. Os hackers usam vários nomes diferentes para os documentos com malware em uma tentativa de atrair a vítima para executá-los. Alguns dos nomes incluem:
- 'Sample-Letter-For-Emergency-Travel-Document.exe'
- 'The-Electoral-Process-Worksheet-Key.exe'
- 'Excel-Pay-Increase-Spreadsheet-Turotial-Bennett.exe'
- 'Mathematical-Concepts-Precalculus-With-Applications-Solutions.exe.'
Se a vítima cair na armadilha, o instalador continuará a injetar um carregador .NET na memória por meio de uma técnica de esvaziamento de processo. O processo atua como um cliente C2, ouvindo comandos enviados pelos atacantes. A próxima fase da cadeia de ataque consiste em baixar um comando do PowerShell responsável por executar o módulo Jupyter Infostealer .NET na memória.
A análise de várias amostras do Jupyter mostra que a ameaça está em desenvolvimento ativo, o que pode expandir ainda mais sua potência. Por exemplo, mais tarde, as versões do Jupyter podem alcançar persistência no sistema comprometido - por meio do uso da estrutura PoshC2, um arquivo .LNK de atalho é colocado na pasta de inicialização do sistema operacional.
