Jupyter Infostealer
Jupyter Infostealer es una nueva variedad de malware .NET que ha sido diseñada para recolectar datos específicos de las computadoras comprometidas. La amenaza parece apuntar a tres grupos principales de navegadores convencionales: Chrome, navegador basado en Chromium y Firefox. Las operaciones amenazantes de Jupyter se han expandido a un nivel más allá de un simple infostealer con la adición de capacidades de puerta trasera. La amenaza tiene una infraestructura de Comando y Control (C2, C&C) establecida, puede descargar y ejecutar cargas útiles de malware adicionales y ejecutar comandos y scripts de PowerShell arbitrarios.
Según los investigadores de Morphisec, esta amenaza particular de robo de información ha sido desarrollada por un grupo de piratas informáticos con sede en Rusia o de habla rusa. Múltiples hechos respaldan la conclusión del investigador: una parte significativa de la infraestructura C2 configurada para Jupyter se encuentra en Rusia, un error tipográfico del Jupyter que se encuentra en el código de la amenaza es común cuando el nombre se convierte del ruso, y es bastante revelador imágenes de El panel de administración de Jupyter se ha descubierto como publicaciones en un foro de hackers rusos.
La cadena de ataque de Jupyter Infostealer comienza con la difusión de correos electrónicos de phishing que contienen archivos adjuntos envenenados. Los archivos .ZIP contienen el instalador corrupto de la amenaza disfrazado de documento de Word inocente. Los piratas informáticos utilizan varios nombres diferentes para los documentos con malware en un intento de atraer a la víctima para que los ejecute. Algunos de los nombres incluyen:
- 'Ejemplo de carta para documentos de viaje de emergencia.exe'
- 'El-proceso-electoral-hoja de trabajo-clave.exe'
- 'Excel-Pay-Increase-Spreadsheet-Turotial-Bennett.exe'
- 'Conceptos-matemáticos-Precálculo-con-Aplicaciones-Soluciones.exe.'
Si la víctima cae en la trampa, el instalador procederá a inyectar un cargador .NET en la memoria mediante una técnica de vaciado de procesos. El proceso actúa como un cliente C2, escuchando los comandos enviados por los atacantes. La siguiente fase de la cadena de ataque consiste en descargar un comando de PowerShell responsable de ejecutar el módulo .NET de Jupyter Infostealer en la memoria.
El análisis de varias muestras de Jupyter muestra que la amenaza se encuentra en desarrollo activo que podría expandir aún más su potencia. Por ejemplo, más adelante, las versiones de Jupyter pueden lograr la persistencia en el sistema comprometido: mediante el uso del marco PoshC2, se coloca un archivo .LNK de acceso directo en la carpeta de inicio del sistema operativo.
