Zephyrnet Logo

Inteligência de dados generativa

Cíber segurança

Campanha evasiva Jupyter Infostealer apresenta variante perigosa

Republicado por Platão
Republicado por Platão

Data:

Visualizações: 137

Pesquisadores de segurança detectaram um aumento recente em ataques envolvendo uma nova variante sofisticada do Jupyter, um ladrão de informações que tem como alvo usuários dos navegadores Chrome, Edge e Firefox desde pelo menos 2020.

O malware, também conhecido como Yellow Cockatoo, Solarmarker e Polazert, pode fazer backdoors em máquinas e coletar uma variedade de informações de credenciais, incluindo nome do computador, privilégios de administrador do usuário, cookies, dados da Web, informações do gerenciador de senhas do navegador e outros dados confidenciais de sistemas de vítimas – como logins para carteiras criptografadas e aplicativos de acesso remoto.

Uma ameaça cibernética persistente de roubo de dados

Pesquisadores do serviço gerenciado de detecção e resposta (MDR) Carbon Black da VMware recentemente observei a nova versão do malware que aproveita modificações de comando do PowerShell e cargas úteis assinadas digitalmente de aparência legítima, infectando um número cada vez maior de sistemas desde o final de outubro.

“As infecções recentes do Jupyter utilizam vários certificados para assinar seu malware, o que, por sua vez, pode permitir que a confiança seja concedida ao arquivo malicioso, fornecendo acesso inicial à máquina da vítima”, disse a VMware em seu blog de segurança esta semana. “Essas modificações parecem melhorar as capacidades de evasão [de Jupyter], permitindo que ele permaneça imperceptível.”

Morphisec e BlackBerry – dois outros fornecedores que já rastrearam o Jupyter – identificaram o malware como capaz de funcionar como um backdoor completo. Eles descreveram seus recursos como incluindo suporte para comunicações de comando e controle (C2), atuando como um dropper e carregador para outros malwares, esvaziando o código do shell para evitar a detecção e executando scripts e comandos do PowerShell.

A BlackBerry relatou ter observado o Jupyter também visando carteiras criptografadas, como Ethereum Wallet, MyMonero Wallet e Atomic Wallet, além de acessar OpenVPN, Remote Desktop Protocol e outros aplicativos de acesso remoto.

Os operadores do malware usaram uma variedade de técnicas para distribuir o malware, incluindo redirecionamentos de mecanismos de pesquisa para sites maliciosos, downloads drive-by, phishing e envenenamento de SEO – ou manipulação maliciosa dos resultados dos mecanismos de pesquisa para entregar malware.

Jupyter: contornando a detecção de malware

Nos ataques mais recentes, o agente da ameaça por trás do Jupyter tem usado certificados válidos para assinar digitalmente o malware, para que pareça legítimo para as ferramentas de detecção de malware. Os arquivos têm nomes projetados para tentar induzir os usuários a abri-los, com títulos como “An-employers-guide-to-group-health-continuation.exe"E"Como fazer edições em um documento do Word-Permanent.exe".

Os pesquisadores da VMware observaram o malware fazendo múltiplas conexões de rede com seu servidor C2 para descriptografar a carga útil do infostealer e carregá-la na memória, quase imediatamente após chegar ao sistema da vítima.

“Visando os navegadores Chrome, Edge e Firefox, as infecções Jupyter usam envenenamento de SEO e redirecionamentos de mecanismos de pesquisa para encorajar downloads de arquivos maliciosos que são o vetor de ataque inicial na cadeia de ataque”, de acordo com o relatório da VMware. “O malware demonstrou capacidade de coleta de credenciais e comunicação C2 criptografada usada para exfiltrar dados confidenciais.”

Um aumento preocupante de infostealers

O Jupyter está entre as 10 infecções mais frequentes que a VMware detectou em redes de clientes nos últimos anos, de acordo com o fornecedor. Isso é consistente com o que outros relataram sobre um aumento acentuado e preocupante no uso de infostealers após a mudança em grande escala para o trabalho remoto em muitas organizações após o início da pandemia da COVID-19.

Canário vermelho, por exemplo, relatou que infostealers como RedLine, Racoon e Vidar apareceram em suas listas dos 10 principais várias vezes em 2022. Na maioria das vezes, o malware chegava como arquivos de instalação falsos ou envenenados para software legítimo por meio de anúncios maliciosos ou por meio de manipulação de SEO. A empresa descobriu que invasores usavam o malware principalmente para tentar coletar credenciais de funcionários remotos que permitiam acesso rápido, persistente e privilegiado a redes e sistemas corporativos.

“Nenhuma indústria está imune ao malware ladrão e a propagação desse malware é muitas vezes oportunista, geralmente através de publicidade e manipulação de SEO”, disseram os pesquisadores da Red Canary.

Uptycs relatou um aumento semelhante e preocupante na distribuição de infostealer no início deste ano. Os dados que a empresa rastreou mostraram que o número de incidentes em que um invasor implantou um infostealer mais que dobrou no primeiro trimestre de 2023, em comparação com o mesmo período do ano passado. O fornecedor de segurança encontrou agentes de ameaças usando o malware para roubar nomes de usuário e senhas, informações do navegador, como perfis e informações de preenchimento automático, informações de cartão de crédito, informações de carteira criptografada e informações do sistema. Os infostealers mais recentes, como o Rhadamanthys, também podem roubar especificamente logs de aplicativos de autenticação multifator, de acordo com a Uptycs. Os registros contendo os dados roubados são então vendidos em fóruns criminosos, onde há uma grande demanda por eles.

“A exfiltração de dados roubados tem um impacto perigoso nas organizações ou indivíduos, pois pode ser facilmente vendido na dark web como um ponto de acesso inicial para outros atores de ameaças”, alertaram os pesquisadores da Uptycs.

local_img

Inteligência mais recente

local_img

Direitos autorais @ 2024 Plato Technologies Inc.