O novo ladrão de informações Jupyter apareceu no cenário de ameaças

Pesquisadores da Morphisec identificaram atores de ameaças que falam russo que têm usado um pedaço de infostealer .NET, rastreado como Jupyter, para roubar informações de suas vítimas.

O malware Jupyter é capaz de coletar dados de vários aplicativos, incluindo os principais navegadores (navegadores baseados em Chromium, Firefox e Chrome) e também é capaz de estabelecer um backdoor no sistema infectado.

“Jupyter é um infostealer que visa principalmente os dados dos navegadores Chromium, Firefox e Chrome. No entanto, sua cadeia de ataque, entrega e carregador demonstram recursos adicionais para funcionalidade backdoor completa. ” lê a análise publicada pela Morphisec . “Esses incluem:

• um cliente C2
• baixar e executar malware
• execução de scripts e comandos do PowerShell
• esvaziar o código do shell em aplicativos legítimos de configuração do Windows. ”

Os especialistas identificaram a nova ameaça durante um processo de resposta a incidentes de rotina em outubro, mas de acordo com dados forenses, versões anteriores do ladrão de informações foram desenvolvidas desde maio.

O malware foi atualizado continuamente para evitar a detecção e incluir novos recursos de roubo de informações, a versão mais recente foi criada no início de novembro.

A cadeia de ataque começa com o download de um arquivo ZIP contendo um instalador (executável Inno Setup) mascarado como software legítimo (ou seja, Docx2Rtf). Os especialistas apontaram que os instaladores mantiveram uma taxa de detecção do VirusTotal de 0 nos últimos 6 meses.

Os instaladores iniciais se apresentam como documentos do Microsoft Word e usam os seguintes nomes:

• The-Electoral-Process-Worksheet-Key.exe
• Mathematical-Concepts-Precalculus-With-Applications-Solutions.exe
• Excel-Pay-Increase-Spreadsheet-Turotial-Bennett.exe
• Amostra de carta para documento de viagem de emergência

Ao executar o instalador, um cliente .NET C2 (Jupyter Loader) é injetado na memória usando uma técnica de esvaziamento de processo. O processo injetado é um carregador .NET que atua como cliente para o servidor de comando e controle.

“O cliente então baixa o próximo estágio, um comando PowerShell que executa o módulo Jupyter .NET na memória. Ambos os componentes .Net têm estruturas de código semelhantes, ofuscação e implementação UID exclusiva. ” continua Morphisec. “Essas semelhanças indicam o desenvolvimento de uma estrutura ponta a ponta para a implementação do Jupyter Infostealer.”

O autor do malware substituiu o esvaziamento do processo por um comando do PowerShell para executar a carga na memória.

Nas versões mais recentes, o instalador também conta com a   estrutura PoshC2 para estabelecer persistência na máquina criando um arquivo LNK de atalho e colocando-o na pasta de inicialização. Os especialistas coletaram várias evidências que ligavam o código malicioso aos agentes de ameaças russos.

Os pesquisadores da Morphisec descobriram que muitos dos servidores C2 Jupyter estavam localizados na Rússia, alguns deles atualmente inativos.

Os especialistas também notaram que um erro de digitação consistente com o nome Jupyter foi convertido do russo e encontraram imagens do painel de administração do Jupyter em um fórum em russo.

Os especialistas acreditam que os agentes de ameaças por trás do malware Jupyter implementarão novos recursos para mantê-lo sob o radar e coletar mais informações das máquinas das vítimas.

Morphisec forneceu mais detalhes técnicos sobre o ataque do Jupyter em um relatório que pode ser baixado clicando aqui.

Fonte: https://securityaffairs.co/wordpress/110967/malware/jupyter-malware.html