Кампания недавно обнаруженных троянских вредоносных программ нацелена на предприятия и высшие учебные заведения. Похоже, что это попытка украсть имена пользователей, пароли и другую личную информацию, а также создать постоянный бэкдор для скомпрометированных систем.
Инфостиллер Jupyter был подробно описан компанией по кибербезопасности Morphisec, которая обнаружила его в сети неназванного высшего учебного заведения в США. Считается, что троян активен с мая этого года.
Атака в первую очередь нацелена на данные браузеров Chromium, Firefox и Chrome, но также имеет дополнительные возможности для открытия бэкдора в скомпрометированных системах, позволяя злоумышленникам выполнять сценарии и команды PowerShell, а также возможность загружать и выполнять дополнительные вредоносные программы. .
SEE: Выигрышная стратегия для кибербезопасности (специальный отчет ZDNet) | Загрузить отчет в формате PDF (TechRepublic)
Установщик Jupyter замаскирован в заархивированном файле, часто с использованием значков Microsoft Word и имен файлов, которые выглядят так, как будто их нужно срочно открыть, относящихся к важным документам, сведениям о поездках или повышению заработной платы.
Если программа установки запущена, она установит легальные инструменты, чтобы скрыть истинную цель установки — загрузку и запуск вредоносной программы установки во временные папки в фоновом режиме.
После полной установки в системе Jupyter крадет информацию, включая имена пользователей, пароли, автозаполнение, историю просмотров и файлы cookie, и отправляет их на сервер управления и контроля. Анализ вредоносного ПО показал, что тот, кто его создал, постоянно изменяет код, чтобы собирать больше информации, а также усложняет обнаружение жертв.
Неясно, каков точный мотив кражи информации, но киберпреступники могут использовать ее для получения дополнительного доступа к сетям для дальнейших атак — и потенциально кражи очень конфиденциальных данных — или они могут продать учетные данные и доступ через черный ход к системам для других преступников, которые имеют к ним доступ.
Исследователи считают, что Jupyter происходит из России. Анализ вредоносного ПО не только показал, что он связан с управляющими серверами в России, но и обратный поиск изображения планеты Юпитер в админ-панели инфостилера показал, что оригинал взят с русскоязычного форума. На этом изображении также написано Jupyter, вероятно, неправильное написание названия планеты с русского на английский.
Хотя многие из командных серверов сейчас неактивны, панель администратора все еще работает, что говорит о том, что кампании Jupyter, возможно, еще не завершены.