اكتشف باحثو الأمن زيادة حديثة في الهجمات التي تنطوي على متغير جديد متطور من Jupyter، وهو برنامج سرقة المعلومات الذي يستهدف مستخدمي متصفحات Chrome وEdge وFirefox منذ عام 2020 على الأقل.

يمكن للبرامج الضارة، التي يشار إليها أيضًا باسم Yellow Cockatoo وSolarmarker وPolazert، أن تقوم بالدخول إلى الأجهزة الخلفية وجمع مجموعة متنوعة من معلومات الاعتماد، بما في ذلك اسم الكمبيوتر وامتيازات مسؤول المستخدم وملفات تعريف الارتباط وبيانات الويب ومعلومات إدارة كلمات مرور المتصفح والبيانات الحساسة الأخرى من الأنظمة الضحية - مثل عمليات تسجيل الدخول لمحافظ العملات المشفرة وتطبيقات الوصول عن بعد.

التهديد السيبراني المستمر لسرقة البيانات

قام باحثون من شركة VMware's Carbon Black بإدارة خدمة الكشف والاستجابة (MDR) مؤخرًا لاحظت النسخة الجديدة من البرامج الضارة التي تستفيد من تعديلات أوامر PowerShell والحمولات الموقعة رقميًا ذات المظهر الشرعي، مما أدى إلى إصابة عدد متزايد من الأنظمة منذ أواخر أكتوبر.

وقالت VMware في مدونتها الأمنية هذا الأسبوع: "تستخدم إصابات Jupyter الأخيرة شهادات متعددة للتوقيع على برامجها الضارة، والتي بدورها يمكن أن تسمح بمنح الثقة للملف الضار، مما يوفر الوصول الأولي إلى جهاز الضحية". "يبدو أن هذه التعديلات تعزز قدرات [Jupyter] على المراوغة، مما يسمح لها بالبقاء غير واضحة."

Morphisec و بلاك بيري - حدد بائعان آخران قاما بتتبع Jupyter سابقًا - البرامج الضارة بأنها قادرة على العمل كباب خلفي كامل. لقد وصفوا قدراته على أنها تشمل دعم اتصالات القيادة والتحكم (C2)، والعمل كقطارة ومحمل للبرامج الضارة الأخرى، وإفراغ كود الصدفة لتجنب الكشف، وتنفيذ البرامج النصية والأوامر PowerShell.

أبلغت BlackBerry عن ملاحظة أن Jupyter يستهدف أيضًا محافظ العملات المشفرة، مثل Ethereum Wallet وMyMonero Wallet وAtomic Wallet، بالإضافة إلى الوصول إلى OpenVPN وRemote Desktop Protocol وتطبيقات الوصول عن بعد الأخرى.

استخدم مشغلو البرامج الضارة مجموعة متنوعة من التقنيات لتوزيع البرامج الضارة، بما في ذلك عمليات إعادة توجيه محرك البحث إلى مواقع الويب الضارة، والتنزيلات من محرك الأقراص، والتصيد الاحتيالي، وتسميم تحسين محركات البحث (SEO) - أو التلاعب بشكل ضار بنتائج محرك البحث لتقديم برامج ضارة.

Jupyter: التعرف على اكتشاف البرامج الضارة

في أحدث الهجمات، كان ممثل التهديد الذي يقف وراء Jupyter يستخدم شهادات صالحة للتوقيع رقميًا على البرامج الضارة بحيث تبدو شرعية لأدوات الكشف عن البرامج الضارة. تحتوي الملفات على أسماء مصممة لمحاولة خداع المستخدمين لفتحها، مع عناوين مثل "دليل أصحاب العمل إلى مجموعة الصحة Continuation.exe"و"كيفية إجراء تعديلات على مستند Word-Permanent.exe".

لاحظ باحثو VMware أن البرنامج الضار يقوم بإجراء اتصالات شبكة متعددة بخادم C2 الخاص به لفك تشفير حمولة برنامج سرقة المعلومات وتحميلها في الذاكرة، وذلك فور وصوله إلى نظام الضحية.

وفقًا لتقرير VMware، "تستهدف عدوى Jupyter، التي تستهدف متصفحات Chrome وEdge وFirefox، عملية تسميم تحسين محركات البحث (SEO) وعمليات إعادة توجيه محركات البحث لتشجيع تنزيل الملفات الضارة التي تمثل ناقل الهجوم الأولي في سلسلة الهجوم". "لقد أظهرت البرامج الضارة إمكانية جمع بيانات الاعتماد وقدرات الاتصال المشفرة C2 المستخدمة لتصفية البيانات الحساسة."

زيادة مثيرة للقلق في عدد سارقي المعلومات

تعد Jupyter من بين أكثر 10 إصابات متكررة اكتشفها VMware على شبكات العملاء في السنوات الأخيرة، وفقًا للمورد. وهذا يتفق مع ما رواه آخرون عن أ ارتفاع حاد ومثير للقلق في استخدام سارقي المعلومات بعد التحول واسع النطاق إلى العمل عن بعد في العديد من المؤسسات بعد بدء جائحة كوفيد-19.

الكناري الأحمرعلى سبيل المثال، أفادت أن سارقي المعلومات مثل RedLine وRacoon وVidar قد وضعوا قوائمها العشرة الأولى عدة مرات في عام 10. وفي أغلب الأحيان، وصلت البرامج الضارة كملفات تثبيت مزيفة أو مسمومة لبرامج مشروعة عبر إعلانات ضارة أو من خلال التلاعب بتحسين محركات البحث. وجدت الشركة مهاجمين يستخدمون البرامج الضارة بشكل أساسي لمحاولة جمع بيانات الاعتماد من العاملين عن بعد، مما مكّن من الوصول السريع والمستمر والمميز إلى شبكات وأنظمة المؤسسة.

قال باحثو Red Canary: "لا توجد صناعة محصنة ضد البرامج الضارة التي تسرق، وغالبًا ما يكون انتشار هذه البرامج الضارة انتهازيًا، عادةً من خلال الإعلانات والتلاعب بتحسين محركات البحث".

ذكرت Uptycs أ زيادة مماثلة ومثيرة للقلق في توزيع infostealer في وقت سابق من هذا العام. وأظهرت البيانات التي تتبعتها الشركة أن عدد الحوادث التي نشر فيها المهاجم أداة سرقة المعلومات تضاعفت في الربع الأول من عام 2023، مقارنة بالفترة نفسها من العام الماضي. عثر بائع الأمان على جهات تهديد تستخدم البرامج الضارة لسرقة أسماء المستخدمين وكلمات المرور ومعلومات المتصفح مثل الملفات الشخصية ومعلومات الملء التلقائي ومعلومات بطاقة الائتمان ومعلومات محفظة التشفير ومعلومات النظام. يمكن لسرقة المعلومات الأحدث مثل Rhadamanthys أيضًا سرقة السجلات على وجه التحديد من تطبيقات المصادقة متعددة العوامل، وفقًا لـ Uptycs. يتم بعد ذلك بيع السجلات التي تحتوي على البيانات المسروقة في المنتديات الإجرامية، حيث يوجد طلب كبير عليها.

"إن عملية تسلل البيانات المسروقة لها تأثير خطير على المنظمات أو الأفراد، حيث يمكن بيعها بسهولة على شبكة الإنترنت المظلمة كنقطة وصول أولية للجهات الفاعلة الأخرى في مجال التهديد.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant