СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
16.11.2020
#ИБ#Инфра

Российское вредоносное ПО Jupyter крадет учетные данные из Chrome, Firefox, Chromium

Российское вредоносное ПО Jupyter крадет учетные данные из Chrome, Firefox, Chromium

Специалисты по информационной безопасности из компании Morphisec обнаружили новое вредоносное ПО Jupyter. Соответствующая киберпреступная кампания с использованием этого трояна нацелена на промышленные предприятия и высшие учебные заведения. Вредонос активно связывают с российскими хакерами.

Троян Jupyter используется, чтобы украсть логины пользователей, пароли и другие конфиденциальные данные, а также для создания постоянного бэкдора в скомпрометированных системах.

Вредоносное ПО Jupyter относится к категории инфостилеров. Компания Morphisec уверена, что троян активен как минимум с мая 2020 г., когда впервые был обнаружен в сети одного из американских университетов.

Атака с использованием Jupyter направлена, прежде всего, на данные браузеров Chrome, Firefox, Chromium, но также у вредоноса есть дополнительный функционал для открытия бэкдора в скомпрометированных системах, что позволяет киберпреступникам выполнять команды и сценарии PowerShell, загружать и запускать дополнительное вредоносное ПО в системе жертвы.

Установщик Jupyter маскируется в виде заархивированного файла, зачастую с использованием значка MS Office или имен файлов, которые выглядят так, как будто их надо срочно открыть (например, они могут быть связаны с важными документами, информацией о поездках, с повышением заработной платы). После запуска установщика Jupyter он установит легальные инструменты для скрытия реальной цели – загрузки и запуска вредоносного ПО во временные папки скомпрометированной системы в фоновом режиме.

Эксперты по информационной безопасности Morphisec убеждены, что вредоносное ПО Jupyter исходит из России. Проведенный анализ трояна показал, что вредонос связан с российскими управляющими серверами. Также в админ-панели инфостилера есть изображение Юпитера – оригинальная картинка взята с одного и русскоязычных форумов.

После полной установки в системе жертвы вредоносное ПО начинает постепенно красть различные виды данных:

  • имена пользователей;
  • пароли;
  • данные автозаполнения в браузерах;
  • историю просмотров;
  • файлы cookie.

После кражи вредонос отправляет данные на управляющий сервер. Специалисты из Morphisec отмечают, что создатели вредоносного ПО Jupyter постоянно меняют код, чтобы собрать как можно больше информации и для усложнения обнаружения жертв. Экспертам из Morphisec не совсем ясны точные мотивы операторов этого вредоносного ПО. Предполагается, что украденные данные могут быть использованы в дальнейшем киберпреступниками для проведения последующих кибератак.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: