セキュリティ研究者らは、少なくとも 2020 年以来、Chrome、Edge、Firefox ブラウザーのユーザーをターゲットにしてきた情報窃盗ツールである Jupyter の洗練された新しい亜種を使った攻撃が最近増加していることを発見しました。
Yellow Cockatoo、Solarmark、Polazert とも呼ばれるこのマルウェアは、マシンをバックドアし、コンピュータ名、ユーザーの管理者権限、Cookie、Web データ、ブラウザのパスワード マネージャー情報、その他の機密データを含むさまざまな資格情報を収集します。被害者システム — 暗号通貨ウォレットやリモート アクセス アプリのログインなど。
永続的なデータ窃取のサイバー脅威
VMware の Carbon Black マネージド ディテクション アンド レスポンス (MDR) サービスの研究者が最近 新しいバージョンを観察しました PowerShell コマンドの変更と、正規に見えるデジタル署名されたペイロードを利用するマルウェアが、XNUMX 月下旬以降、感染するシステムの数が着実に増加しています。
「最近の Jupyter 感染は、複数の証明書を利用してマルウェアに署名することで、悪意のあるファイルに信頼が与えられ、被害者のマシンへの初期アクセスが可能になる可能性がある」と VMware は今週セキュリティ ブログで述べた。 「これらの修正により、[Jupyter] の回避能力が強化され、目立たないようになるようです。」
モルフィセック & ブラックベリー 以前に Jupyter を追跡していた他の 2 つのベンダーは、このマルウェアが本格的なバックドアとして機能する可能性があることを特定しました。 彼らは、その機能として、コマンド アンド コントロール (CXNUMX) 通信のサポート、他のマルウェアのドロッパーおよびローダーとしての機能、検出を回避するためのシェル コードの中空化、および PowerShell スクリプトとコマンドの実行を含むと説明しています。
BlackBerry は、Jupyter が OpenVPN、リモート デスクトップ プロトコル、その他のリモート アクセス アプリケーションにアクセスするだけでなく、イーサリアム ウォレット、MyMonero ウォレット、アトミック ウォレットなどの暗号通貨ウォレットもターゲットにしていることを観察したと報告しています。
マルウェアの運用者は、悪意のある Web サイトへの検索エンジンのリダイレクト、ドライブバイ ダウンロード、フィッシング、SEO ポイズニング、または検索エンジンの結果を悪意を持って操作してマルウェアを配信するなど、さまざまな手法を使ってマルウェアを配布しています。
Jupyter: マルウェア検出を回避する
最近の攻撃では、Jupyter の背後にある攻撃者が有効な証明書を使用してマルウェアにデジタル署名し、マルウェア検出ツールにとって正当なものであるかのように見せています。 ファイルには、「雇用主向けグループ健康継続ガイド.exe"と"Word ドキュメントの編集を永続的に実行する方法"
VMware の研究者は、マルウェアが C2 サーバーに複数のネットワーク接続を確立し、被害者のシステムに到達するとほぼ即座に情報窃盗ペイロードを復号してメモリにロードすることを観察しました。
VMware のレポートによると、「Chrome、Edge、Firefox ブラウザをターゲットとする Jupyter 感染は、SEO ポイズニングと検索エンジンのリダイレクトを利用して、攻撃チェーンの最初の攻撃ベクトルとなる悪意のあるファイルのダウンロードを促進します。」 「このマルウェアは、機密データを抜き出すために使用される認証情報の収集と暗号化された C2 通信機能を実証しました。」
情報窃盗者の憂慮すべき増加
ベンダーによると、Jupyter は VMware が近年クライアント ネットワーク上で検出した最も頻繁な感染のトップ 10 に含まれています。 それは他の人が報告したことと一致しています 急激で憂慮すべき上昇 新型コロナウイルス感染症(COVID-19)のパンデミックが始まった後、多くの組織でリモートワークへの大規模な移行が行われた後の情報窃取者の使用。
赤いカナリアたとえば、RedLine、Racoon、Vidar などの情報窃盗業者が 10 年にトップ 2022 リストに複数回ランクインしたと報告しています。ほとんどの場合、マルウェアは、悪意のある広告や SEO 操作を通じて、正規のソフトウェアの偽または汚染されたインストーラー ファイルとして到着しました。 同社は、攻撃者が主に企業のネットワークやシステムへの迅速かつ永続的な特権アクセスを可能にするリモート ワーカーから認証情報を収集しようとしてこのマルウェアを使用していることを発見しました。
「窃盗型マルウェアの影響を受けない業界はなく、このようなマルウェアの拡散は、通常、広告や SEO 操作を通じて日和見的に行われることが多い」と Red Canary の研究者は述べています。
Uptycs が報告した 同様の厄介な増加 今年初めに Infostealer で配布されました。 同社が追跡したデータによると、2023 年の第 XNUMX 四半期には、攻撃者が情報窃取ツールを導入したインシデントの数が、前年同期と比較して XNUMX 倍以上に増加しました。 セキュリティ ベンダーは、攻撃者がこのマルウェアを使用してユーザー名とパスワード、プロファイルや自動入力情報などのブラウザ情報、クレジット カード情報、仮想通貨ウォレット情報、システム情報を盗んでいることを発見しました。 Uptycs によると、Rhadamanthys などの新しい情報窃取者も、多要素認証アプリケーションから特別にログを盗む可能性があります。 盗まれたデータを含むログは、需要の多い犯罪フォーラムで販売されます。
「盗まれたデータの流出には、 組織への危険な影響 他の脅威アクターの最初のアクセス ポイントとしてダーク Web 上で簡単に販売される可能性があるためです」と Uptycs の研究者は警告しました。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant
