Tecniche di furtività avanzate nella nuova versione di Jupyter Infostealer

Un virus di furto di informazioni di Jupyter aggiornato è riapparso con "modifiche semplici ma incisive" intese a prendere silenziosamente il controllo dei sistemi infetti e a diventare persistenti.

In uno studio pubblicato con The Hacker News, i ricercatori di VMware Carbon Black hanno dichiarato: "Il team ha scoperto nuove ondate di attacchi di Jupyter Infostealer che sfruttano modifiche dei comandi di PowerShell e firme di chiavi private nel tentativo di far passare il malware come un file firmato legittimamente".

Anche conosciuto con i nomi Polazert, SolarMarker e Yellow Cockatoo, Jupyter Infostealer ha una storia di utilizzo di malvertising e tecniche manipolative di ottimizzazione dei motori di ricerca (SEO) come vettore di accesso iniziale per ingannare le persone in cerca di software popolare affinché lo scarichino da siti web discutibili.

Al fine di esfiltrare dati e eseguire ordini arbitrari, ha la capacità di generare comunicazioni di comando e controllo (C2) crittografate e raccogliere credenziali.

Per conferire al malware una falsa sensazione di validità, l'ultimo insieme di artefatti lo firma con una varietà di certificati; tuttavia, quando il virus viene avviato, i falsi installatori avviano la catena di infezione.

Gli installatori sono progettati per attivare un carico utile temporaneo che utilizza PowerShell per stabilire una connessione a un server remoto, decodificare il malware del ladro e quindi avviarlo.

Sicurezza online Questo è il risultato del virus del ladro che viene venduto nel dark web, poiché continua a sviluppare nuove strategie e metodi che facilitano l'inizio per giocatori meno esperti.

Anche Lumma Stealer è stato aggiornato, aggiungendo un loader e la capacità di creare build casuali per un'offuscamento migliorato.

"Questo porta il malware da un tipo di ladro a un malware più subdolo che può caricare attacchi di secondo livello sulle vittime", ha affermato VMware. "Il loader fornisce un modo per l'attore minaccia di ampliare l'attacco dal furto di dati fino a infettare le vittime con ransomware."

Mystic Stealer è un'altra famiglia di malware ladro che si è migliorata costantemente; oltre alle sue capacità di furto di informazioni, ha recentemente incorporato una funzionalità di loader.

Infostealer per Jupyter "Il codice continua a evolversi ed espandere le capacità di furto di dati e la comunicazione di rete è stata aggiornata da un protocollo TCP binario personalizzato a un protocollo basato su HTTP", ha riferito Zscaler alla fine di novembre.

"Le nuove modifiche hanno portato a un aumento della popolarità con attori minaccia criminali che sfruttano la sua funzionalità di loader per distribuire famiglie di malware aggiuntive tra cui RedLine, DarkGate e GCleaner."

L'emergere di ladri e trojan di accesso remoto come Akira Stealer e Millenium RAT, che sono dotati di molteplici funzionalità per consentire il furto di dati, è un altro esempio di come tali malware siano sempre in evoluzione.

Sicurezza online La rivelazione coincide con i rapporti secondo cui loader malware come PrivateLoader e Amadey sono stati visti infettare centinaia di computer con il botnet proxy Socks5Systemz, attivo dal 2016.

Bitsight, un'azienda di sicurezza informatica, ha divulgato informazioni sul servizio la scorsa settimana e ha affermato di aver individuato almeno 53 server correlati al botnet distribuiti in Francia, Bulgaria, Paesi Bassi e Svezia.

L'obiettivo finale della campagna è trasformare i sistemi compromessi in proxy che possono instradare il traffico per altri attori, legittimi o meno, per fornire un livello aggiuntivo di anonimato. Considerando la scarsità di malattie in Russia, si ritiene che gli attori minaccia siano di origine russa.

"Il servizio proxy consente ai clienti di scegliere un abbonamento che varia da 1 USD a 4.000 USD, pagabile integralmente utilizzando criptovaluta", ha dichiarato Bitsight. "In base all'analisi della telemetria di rete, si stima che questo botnet abbia circa 10.000 sistemi infetti con vittime sparse in tutto il mondo."