Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Новая версия вредоноса Jupyter распространяется через установщик MSI (http://txgate.io:443/showthread.php?t=13904)

Artifact 04-03-2025 04:08 AM

Новая цепочка заражения свидетельствует о том, что хакеры продолжают работать над повышением эффективности своих атак.
https://www.securitylab.ru/upload/ib...c6729841e3.jpg
Исследователи безопасности рассказали об эволюции Jupyter - инфостилера, написанного на языке программирования .NET и известного тем, что атакует исключительно медицинские и образовательные организации.
Обнаруженная специалистами ИБ-компании Morphisec 8 сентября 2021 года новая цепочка заражения не только свидетельствует о продолжающейся активности вредоноса, но и демонстрирует, «как злоумышленники продолжают развивать свои атаки, чтобы сделать их более эффективными и неуловимыми».
Впервые задокументированное в ноябре 2020 года вредоносное ПО Jupyter (другое название Solarmarker) предположительно было создано российскими разработчиками и предназначено для похищения данных из Firefox, Chrome и браузеров на базе Chromium. Кроме того, вредонос представляет собой полноценный бэкдор и способен похищать данные и загружать их на удаленный сервер, загружать и выполнять полезную нагрузку. По данным Morphisec, с мая 2020 года стали появляться новые версии Jupyter.
В августе 2021 года эксперты Cisco Talos отнесли атаки на счет "по-настоящему высококвалифицированного злоумышленника, в основном нацеленного на похищение учетных и других данных". В феврале нынешнего года ИБ-компания CrowdStrike описала вредонос как упакованное в многоэтапный, сильно обфусцированный загрузчик PowerShell, который приводит к выполнению бэкдора на .NET.
Хотя в предыдущих атаках использовались легитимные файлы известного ПО, такого как Docx2Rtf и Expert PDF, в недавно обнаруженной цепочке заражений стало использоваться PDF-приложение Nitro Pro.
Атака начинается с развертывания установщика MSI, размер которого превышает 100 МБ, позволяющего злоумышленникам обходить антивирусные решения. Установщик обфусцирован с помощью стороннего упаковщика приложений Advanced Installer.
После запуска MSI выполняется загрузчик PowerShell, встроенный в легитимный файл Nitro Pro 13, два варианта которого подписаны подлинными цифровыми сертификатами действительной компании в Польше. На завершающем этапе загрузчик декодирует и запускает в памяти .NET-модуль Jupyter.


All times are GMT. The time now is 02:24 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.