Jupyter malware stjæler browserdata og åbner bagdøre

Dobbelttrussel fra ny malware.

Russisktalende hackere har brugt en ny malware til at stjæle oplysninger fra deres ofre. Det skriver Bleeping Computer.

Mens det egentlige formål med malwaren Jupyter er at indsamle data fra forskellig software, så kan den ondsindede kode, der understøtter dens levering, også bruges til at skabe en bagdør på et inficeret system.

Undgår at blive opdaget

En variant af malwaren opstod under et hændelsesresponsmøde i oktober på et universitet i USA. Men data indikerer, at der har været udviklet på tidligere versioner af malwaren siden maj. 

Det er forskere ved cybersikkerhedsfirmaet Morphisec, der har opdaget malwareudviklernes høje aktivitetsniveau, bl.a. fik nogle komponenter mere end ni opdateringer på en enkelt måned. Den konstante ændring af koden gør, at malwaren undgår at blive opdaget, samtidig med at det er muligt for Jupyter at indsamle flere data fra kompromitterede systemer.

Browsere er sagen

Jupyter er .NET-baseret og fokuserer på at stjæle data fra Chromium, Mozilla Firefox og Google Chrome. Browsere, hvor den indsamler cookies, legitimationsoplysninger, certifikater og ”auto-fill”-information.

Når malwaren skal afleveres, downloades et installationsprogram (eksekverbar fil ved navn Inno Setup) i et ZIP-arkiv, der udgiver sig som legitim software. Ifølge Morphisec har nogle af disse installationsprogrammer været helt uopdaget på VirusTotals scanningsplatform i de sidste seks måneder.

Installationsprogrammet udnytter procesudhulningsteknikken til at ”injecte” en .NET-loader i hukommelsen til en proces, der fungerer som klient for command-and-control-serveren. I en senere version af installationsprogrammet er udviklerne skiftet fra procesudhulning til en PowerShell-kommando for at køre i hukommelsen.

Alle disse funktioner - C2 klienten, download og udførelse af malwaren, PowerShell-scripts og kommandoer og procesudhulningsteknik - muliggør de udvidede bagdørsfunktioner.

Links:

https://www.bleepingcomputer.com/news/security/new-jupyter-malware-steal...