Ažuriran Jupyter kradljivac podataka

Sigurnosni istraživači su uočili su nedavno povećanje napada koji uključuju novu naprednu varijantu Jupyter kradljivca podataka koji cilja korisnike Chrome, Edge i Firefox Internet pregledača najmanje od 2020. godine.

Ažuriran Jupyter kradljivac podataka; Source: Bing Image Creator

Zlonamjerni softver Jupyter, takođe je poznat i po nazivima Yellow Cockatoo, Solarmarker i Polazert, može da napravi backdoor mašine i prikupi različite podatke o akreditivima, uključujući ime računara, administratorske privilegije korisnika, kolačiće, Internet podatke, informacije o menadžeru lozinki pretraživača i druge osjetljive podatke sa sistemi žrtve — kao što su prijave za kripto-novčanike i aplikacije za daljinski pristup.

POGLED U PROŠLOST

Jupyter zlonamjerni softver je varijanta zlonamjernog softvera koja je prvi put otkrivena krajem 2020. godine. Nastavio je da se razvija, mijenjajući način isporuke kako bi izbjegao otkrivanje. Ciljajući Chrome, Edge i Firefox Internet pregledače, Jupyter infekcije koriste SEO trovanje i preusmjeravanje pregledača da podstakne preuzimanje zlonamjernih datoteka koje su početni vektor napada u lancu napada. Zlonamjerni softver je pokazao mogućnost prikupljanja akreditiva i šifrovane komande i kontrole (C2) komunikacione mogućnosti koje se koriste za ekstrakciju osjetljivih podataka.

JUPYTER KRADLJIVAC

Nova verzija Jupyter kradljivca podataka koristi modifikacije PowerShell komandi i legitiman izgled, digitalno potpisane korisne tovare, postižući infekciju sve većeg broja uređaja od kraja oktobra.

“Nedavne Jupyter infekcije koriste više certifikata za potpisivanje svog zlonamjernog softvera, što zauzvrat može omogućiti povjerenje zlonamjernoj datoteci, obezbeđujući početni pristup mašini žrtve. Čini se da ove modifikacije poboljšavaju mogućnosti izbjegavanja, omogućavajući mu da ostane neprimjetan.”

 – VMware –

Sigurnosne kompanije Morphisec i BlackBerry koje su ranije pratile ovog zlonamjernog kradljivca, identifikovali su ga kao zlonamjerni softver sposoban da funkcioniše kao potpuni backdoor. Opisali su njegove mogućnosti kao što su podrška za komandne i kontrolne (C2) komunikacije, djelovanje kao sredstvo za izbacivanje i učitavanje za drugi zlonamjernih softvera, ubacivanje komandnog okruženja u legitimne procese da bi izbjegao otkrivanje i izvršavanje PowerShell skripti i komandi.

Sigurnosna kompanija BlackBerry je analizom otkrila da  Jupyter kradljivac cilja na kripto-novčanike, kao što su Ethereum, MyMonero i Atomic, pored pristupa OpenVPN, Remote Desktop Protocol i drugim aplikacijama za daljinski pristup. Zlonamjerni akteri su koristili različite tehnike za distribuciju zlonamjernog softvera, uključujući preusmjeravanja pretraživača na zlonamjerne Internet lokacije, preuzimanja, phishing i SEO trovanje — ili zlonamjerno manipulisanje rezultatima pretraživača da bi isporučili zlonamjerni softver.

ZAOBILAŽENJE ZAŠTITE

U najnovijim napadima Jupyter kradljivca zlonamjerni akteri koriste važeće certifikate za digitalno potpisivanje zlonamjernog softvera tako da se čini legitimnim za alate za otkrivanje zlonamjernog softvera. Datoteke imaju imena dizajnirana da pokušaju da navedu korisnike da ih otvore, sa naslovima kao što su “An-employers-guide-to-group-health-continuation.exe” i “How-To-Make-Edits-On-A-Word-Document-Permanent.exe”. Pored toga, zlonamjerni softver pravi višestruke mrežne veze sa svojim C2 serverom da bi dešifrovao korisni teret kradljivca podataka i učitao ga u memoriju, skoro odmah po ulasku u sistem žrtve.

Analiza je pokazala da se korisni tovar u prvoj i drugoj fazi napada kod nove verzije Jupyter kradljivca primjetno razlikuje od prethodnih verzija koje su prvi put viđene u septembru 2022. godine. Nova poboljšanja kradljivca podataka uključuju upotrebu alata za instalaciju pod nazivom InnoSetup, koji je prvi korisni teret koji se vidi na uređaju žrtve. InnoSetup je besplatni softverski alat koji zlonamjerni akteri često koriste za instaliranje zlonamjernih datoteka.

U ovom slučaju InnoSetup alat za instalaciju sadrži drugi šifrovani korisni teret koji se dešifruje preko PowerShell okruženja, učitavajući backdoor u memoriju. On se zatim koristi za izvršavanje PowerShell skripti i krađu akreditiva iz pregledača, krađu novčanika kriptovaluta ili učitavanje dodatnih korisnih tovara u memoriju.

ZAKLJUČAK

Jupyter kradljivac  pokazuje izuzetnu sposobnost da se razvija i prilagođava. Čini se da ove nove uočene modifikacije poboljšavaju njegove mogućnosti izbjegavanja, omogućavajući mu da ostane neprimjetan. Kako sajber odbrana jača, zlonamjerni softver pronalazi nove puteve za probijanje i inficiranje sistema, ostavljajući korisnike ranjivim na novije verzije uobičajenih starijih napada.

ZAŠTITA

Kako bi se zaštitili, korisnici bi trebalo da primjenjuju sljedeće mjere:

• Redovno ažuriraju operativni sistem i aplikacije, kako bi na vrijeme ispravili sigurnosne propuste koje zlonamjerni softver može da iskoristi.
• Koristiti provjerena sigurnosna riješenja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i spriječile zlonamjerne aktivnosti.
• Da budu oprezni prilikom preuzimanja datoteka ili otvaranja priloga elektronske pošte, posebno iz nepoznatih izvora. Preporuka je obavezno skeniranje datoteka prije otvaranja.
• Upotreba jakih i jedinstvenih lozinki za sve korisničke naloge. Razmisliti i o upotrebi menadžera lozinki za bezbjedno skladištenje i upravljanje lozinkama.
• Omogućiti provjeru identiteta u dva koraka (2FA) gdje god je to moguće, kao dodatni sloj zaštite. Upotrebom 2FA korisnici mogu onemogućiti pristup korisničkim nalozima čak i ako su lozinke kompromitovane.
• Redovna analiza i uklanjanje nepotrebnih dodatka i softvera koji se ne koristi na uređaju kako bi se smanjio broj mogućih tački infekcije uređaja.
• Pažljivo pratiti finansijske račune i redovno nadgledati istoriju transakcija u potrazi za sumnjivim aktivnostima.