[ Zavřít ] 


 

RSS Kanál

 

Jupyter. Nikoliv hrubka, ale malware

Jupyter je trojan. Malware cílený na odcizování informací, a to především přihlašovacích údajů, hesel a brouzdací historie. V napadených systémech ovšem nechává otevřená zadní vrátka backdooru, přes která může stáhnout do systému cokoliv - a zároveň ho zcela zpřístupnit vzdálenému ovládání. 

 

Jupyter je až příliš zjevně ruská zkomolenina planety Jupiter

Malware Jupyter objevili kybersecuriťáci z firmy Morphisec, a to sice v rámci reakci na hrozby pro jednoho klienta z řad vysokých škol. Sami je označují za infostealer (zloděj informací) a vysvětlují i to, co takový infostealer má být: 

„Infostealer je trojan určený ke shromažďování a exfiltraci soukromých a citlivých informací z napadených systémů. Po internetové pláni se prohání mnoho různých infostealerů: některé z nich operují samostatně, jiné působí coby součásti větších malwarových operací bankovních trojanů či trojanů určených ke vzdálenému ovládání napadených systémů. 

Malwary typu infostealer jsou typicky nekomplikované, nenápadné a využívají přenosy, které nejsou trvalé nebo zjistitelné. Tento typ trojanu je obzvláště těžké identifikovat, neboť zanechává jen minimální stopy.“ 

Jupyter primárně cílí Google Chrome a prohlížeče postavené na Chromiu (Microsoft Edge, Opera, Vivaldi), ale i Mozillu Firefox. Z těch se pak snaží vytěžit veškeré informace - a specificky vyfiltrovat přihlašovací údaje a citlivé údaje typu platebních. Nicméně tím jeho schopnosti nekončí. Otevírá totiž v napadených systémech zadní vrátka (backdoor), přes která umožňuje do systému stahovat další zákeřný software či zpřístupní vzdálené ovládání napadeného systému. 

Jupyter se skrývá v ZIPu, ve kterém jsou programy zastoupené běžnými ikonami odpovídajícími aplikacím z balíku Microsoft Office a s názvy:

  • The-Electoral-Process-Worksheet-Key.exe;
  • Mathematical-Concepts-Precalculus-With-Applications-Solutions.exe;
  • Excel-Pay-Increase-Spreadsheet-Turotial-Bennett.exe;
  • Sample-Letter-For-Emergency-Travel-Document

Dotaz na škodlivost jednoho ze souborů Jupyter na portálu Virus Total (Zdroj: zpráva Morphisec)

O zákeřnosti použitého malwaru svědčí i to, že zmíněné instalátory dokázaly zůstat neidentifikovány coby útočné veškerými antiviry. Konkrétně při dotazu na VirusTotal se specialisté z Morphisec dozvěděli, že dané soubory nebyly žádným softwarem vyhodnoceny jako škodlivé.

Obrázek přístupu do administračního rozhraní zavedl výzkumníky na ruskojazyčná fóra

Instalátor po spuštění skrytě injektuje do paměti .NET klient pro vzdálený command and control server. Většina těchto vzdálených serverů se nachází na území Ruska - a to není jediné vodítko, z něhož výzkumníci usuzují na ruský původ Jupyteru. Sám název je zkomoleninou planety Jupiter, která je typická pro ruské prostředí. A vzhled administračního rozhraní přes reverzní hledání obrázků na Googlu dovedl výzkumníky na ruskojazyčná fóra.

Otázkou ovšem je, zda zkomolenina Jupyter není až příliš zjevně ruská. Zda usuzovat na umístění serverů není opět až příliš zjevné - a zda vůbec něco znamená. A zda použití původně ruského nástroje není jen šikovnou úhybnou taktikou. Zvláště pokud se pohybujeme v tak proradném a úskočném prostředí, jak je odvrácená strana internetu.

Adresy C&C serverů

  • 45.135.232[.]131
  • 45.146.165[.]222
  • 45.146.165[.]219
  • 91.241.19[.]21
  • gogohid[.]com
  • spacetruck[.]biz
  • blackl1vesmatter[.]org
  • Mixblazerteam[.]com
  • vincentolife[.]com/j
  • On-offtrack[.]biz

Ačkoliv většina kontrolních serverů je neaktivní, Morphisec očekávají další šíření malwaru Jupyter, další vlny útoků, neustále změny kódu, které ztěžují jeho identifikaci. Sami Morphisec říkají: Jupyter a podobně se vyvíjející malwarové kampaně činí zřejmým problém všech nástrojů spoléhajících na klasickou detekci malware: útočník může neustále iterovat svůj kód, a tak neustále zůstávat krok před obranou.

Zdroje

 

 

 

 

 

Chrome 87 startuje až o čtvrtinu rychleji

Chrome v 87. vydání nejen startuje až o čtvrtinu rychleji, ale také rychleji načítá weby a méně žere RAM. Navíc dokáže snížit vytížení procesoru až pětkrát. V důsledku všechny optimalizace vedou i k úsporám energie, což se rovná...

Google Fotky už nebudou neomezeně zdarma

Google Fotky a možnost jejich neomezeného ukládání ve vysoké kvalitě zdarma končí. Google dlouho uživatelům nabízel ukládání zcela zdarma, aniž by velikost fotek a videí ve vysoké kvalitě ukrajovala z bezplatného úložiště Google Disku. Ale ani...

Poštovní datové zprávy opět zdarma

Elektronický ekvivalent doporučeného dopisu - poštovní datová zpráva - je opět zdarma. Jde o návrh Ministerstva vnitra, který má umožnit, aby občané mohli využívat místo jiné komunikace, která zahrnovala fyzickou interakci.    ...

Česká pošta se stala nástrojem phishingu

Obzvláště nebezpečný phishing koluje po českých emailech. Kyberútočníci si tentokrát coby nástroj na oblafnutí uživatele zvolili upozornění od České pošty. Za nepatrnou platbičku dlužného cla ve výši 1,10 Kč v podstatě slibují...


 
© 2005-2020 PS Media s.r.o. - digital world
 

reklama