Новая версия вредоноса Jupyter распространяется через установщик MSI

[Artifact]

Новая цепочка заражения свидетельствует о том, что хакеры продолжают работать над повышением эффективности своих атак.

Исследователи безопасности рассказали об эволюции Jupyter - инфостилера, написанного на языке программирования .NET и известного тем, что атакует исключительно медицинские и образовательные организации.
Обнаруженная специалистами ИБ-компании Morphisec 8 сентября 2021 года новая цепочка заражения не только свидетельствует о продолжающейся активности вредоноса, но и демонстрирует, «как злоумышленники продолжают развивать свои атаки, чтобы сделать их более эффективными и неуловимыми».
Впервые задокументированное в ноябре 2020 года вредоносное ПО Jupyter (другое название Solarmarker) предположительно было создано российскими разработчиками и предназначено для похищения данных из Firefox, Chrome и браузеров на базе Chromium. Кроме того, вредонос представляет собой полноценный бэкдор и способен похищать данные и загружать их на удаленный сервер, загружать и выполнять полезную нагрузку. По данным Morphisec, с мая 2020 года стали появляться новые версии Jupyter.
В августе 2021 года эксперты Cisco Talos отнесли атаки на счет "по-настоящему высококвалифицированного злоумышленника, в основном нацеленного на похищение учетных и других данных". В феврале нынешнего года ИБ-компания CrowdStrike описала вредонос как упакованное в многоэтапный, сильно обфусцированный загрузчик PowerShell, который приводит к выполнению бэкдора на .NET.
Хотя в предыдущих атаках использовались легитимные файлы известного ПО, такого как Docx2Rtf и Expert PDF, в недавно обнаруженной цепочке заражений стало использоваться PDF-приложение Nitro Pro.
Атака начинается с развертывания установщика MSI, размер которого превышает 100 МБ, позволяющего злоумышленникам обходить антивирусные решения. Установщик обфусцирован с помощью стороннего упаковщика приложений Advanced Installer.
После запуска MSI выполняется загрузчик PowerShell, встроенный в легитимный файл Nitro Pro 13, два варианта которого подписаны подлинными цифровыми сертификатами действительной компании в Польше. На завершающем этапе загрузчик декодирует и запускает в памяти .NET-модуль Jupyter.