Beveiligingsonderzoekers hebben een recente toename van aanvallen opgemerkt waarbij een geavanceerde nieuwe variant van Jupyter betrokken is, een informatiedief die zich sinds minstens 2020 richt op gebruikers van Chrome-, Edge- en Firefox-browsers.

De malware, ook wel Yellow Cockatoo, Solarmarker en Polazert genoemd, kan achterdeurmachines binnendringen en allerlei inloggegevens verzamelen, waaronder de computernaam, de beheerdersrechten van de gebruiker, cookies, webgegevens, informatie over de browserwachtwoordbeheerder en andere gevoelige gegevens van slachtoffersystemen – zoals logins voor crypto-wallets en apps voor externe toegang.

Een aanhoudende cyberbedreiging voor het stelen van gegevens

Onderzoekers van de Carbon Black Managed Detection and Response (MDR)-service van VMware onlangs heb de nieuwe versie gezien van de malware die gebruik maakt van PowerShell-opdrachtwijzigingen en legitiem ogende, digitaal ondertekende payloads, waardoor sinds eind oktober een gestaag toenemend aantal systemen wordt geïnfecteerd.

“De recente Jupyter-infecties maken gebruik van meerdere certificaten om hun malware te ondertekenen, waardoor vertrouwen kan worden verleend aan het kwaadaardige bestand, waardoor initiële toegang wordt geboden tot de machine van het slachtoffer”, aldus VMware deze week in zijn beveiligingsblog. “Deze aanpassingen lijken de ontwijkingsmogelijkheden van [Jupyter] te vergroten, waardoor het onopvallend blijft.”

Morphisec en BlackBerry – twee andere leveranciers die Jupyter eerder hebben gevolgd – hebben vastgesteld dat de malware kan functioneren als een volwaardige achterdeur. Ze hebben de mogelijkheden ervan beschreven als ondersteuning voor command and control (C2)-communicatie, fungeren als dropper en loader voor andere malware, het uithollen van shell-code om detectie te omzeilen en het uitvoeren van PowerShell-scripts en -opdrachten.

BlackBerry heeft gemeld dat Jupyter zich ook richt op crypto-wallets, zoals Ethereum Wallet, MyMonero Wallet en Atomic Wallet, naast toegang tot OpenVPN, Remote Desktop Protocol en andere applicaties voor externe toegang.

De exploitanten van de malware hebben verschillende technieken gebruikt om de malware te verspreiden, waaronder doorverwijzingen van zoekmachines naar kwaadaardige websites, drive-by downloads, phishing en SEO-vergiftiging – of het kwaadwillig manipuleren van zoekresultaten van zoekmachines om malware af te leveren.

Jupyter: Malwaredetectie omzeilen

Bij de meest recente aanvallen heeft de bedreigingsacteur achter Jupyter geldige certificaten gebruikt om de malware digitaal te ondertekenen, zodat deze legitiem lijkt voor malwaredetectietools. De bestanden hebben namen die zijn ontworpen om gebruikers te misleiden om ze te openen, met titels als “Een-werkgeversgids-voor-groepsgezondheidsvoortzetting.exe"En"Hoe u wijzigingen kunt aanbrengen in een Word-document-Permanent.exe'.

VMware-onderzoekers observeerden dat de malware meerdere netwerkverbindingen maakte met zijn C2-server om de infostealer-payload te decoderen en in het geheugen te laden, vrijwel onmiddellijk nadat hij op een slachtoffersysteem terechtkwam.

"Jupyter-infecties richten zich op Chrome-, Edge- en Firefox-browsers en maken gebruik van SEO-vergiftiging en omleidingen van zoekmachines om het downloaden van kwaadaardige bestanden aan te moedigen die de eerste aanvalsvector in de aanvalsketen vormen", aldus het rapport van VMware. “De malware heeft het verzamelen van inloggegevens en gecodeerde C2-communicatiemogelijkheden gedemonstreerd die worden gebruikt om gevoelige gegevens te exfiltreren.”

Een verontrustende toename van het aantal infostealers

Volgens de leverancier behoort Jupyter tot de top 10 van meest voorkomende infecties die VMware de afgelopen jaren op clientnetwerken heeft gedetecteerd. Dat komt overeen met wat anderen hebben gerapporteerd over a scherpe en zorgwekkende stijging in het gebruik van infostealers na de grootschalige verschuiving naar werken op afstand bij veel organisaties nadat de COVID-19-pandemie was begonnen.

Rode CanarischeZo meldden ze bijvoorbeeld dat infostealers als RedLine, Racoon en Vidar in 10 meerdere keren in de top 2022 van de lijst stonden. Meestal arriveerde de malware als valse of vergiftigde installatiebestanden voor legitieme software via kwaadaardige advertenties of via SEO-manipulatie. Het bedrijf ontdekte dat aanvallers de malware voornamelijk gebruikten om inloggegevens van externe werknemers te verzamelen, waardoor snelle, aanhoudende en geprivilegieerde toegang tot bedrijfsnetwerken en -systemen mogelijk werd.

“Geen enkele sector is immuun voor stealer-malware en de verspreiding van dergelijke malware is vaak opportunistisch, meestal via advertenties en SEO-manipulatie”, aldus onderzoekers van Red Canary.

Uptycs rapporteerde een soortgelijke en verontrustende toename in de distributie van infostealer eerder dit jaar. Uit gegevens die het bedrijf bijhield, blijkt dat het aantal incidenten waarbij een aanvaller een infostealer heeft ingezet in het eerste kwartaal van 2023 ruimschoots is verdubbeld, vergeleken met dezelfde periode vorig jaar. De beveiligingsleverancier ontdekte dat bedreigingsactoren de malware gebruikten om gebruikersnamen en wachtwoorden, browserinformatie zoals profielen en automatisch aanvulinformatie, creditcardgegevens, crypto-wallet-informatie en systeeminformatie te stelen. Nieuwere infostealers zoals Rhadamanthys kunnen volgens Uptycs ook specifiek logs stelen van multifactorauthenticatietoepassingen. Logboeken met de gestolen gegevens worden vervolgens verkocht op criminele fora, waar er veel vraag naar is.

“Exfiltratie van gestolen gegevens heeft een gevaarlijke gevolgen voor organisaties of individuen, omdat het gemakkelijk op het dark web kan worden verkocht als een eerste toegangspunt voor andere bedreigingsactoren”, waarschuwden Uptycs-onderzoekers.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant