Ερευνητές ασφαλείας από τη Morphisec ανακάλυψαν μια malware εκστρατεία που χρησιμοποιεί ένα σχετικά νέο trojan και στοχεύει επιχειρήσεις και ιδρύματα τριτοβάθμιας εκπαίδευσης. Σκοπός του είναι να κλέψει ονόματα χρήστη, κωδικούς πρόσβασης και άλλες προσωπικές πληροφορίες. Επίσης, έχει τη δυνατότητα να δημιουργήσει ένα μόνιμο backdoor στα παραβιασμένα συστήματα. Το trojan ονομάζεται Jupyter και ανακαλύφθηκε στο δίκτυο ενός ιδρύματος τριτοβάθμιας εκπαίδευσης στις ΗΠΑ. Οι ερευνητές πιστεύουν ότι το malware χρησιμοποιείται τουλάχιστον από τον Μάιο.
Η επίθεση στοχεύει πρωτίστως τα δεδομένα από Chromium, Firefox και Chrome browser, αλλά δημιουργεί και ένα backdoor στα παραβιασμένα συστήματα, επιτρέποντας στους επιτιθέμενους να εκτελούν PowerShell scripts και εντολές, καθώς και να κατεβάζουν και να εκτελούν άλλα malware.
Το πρόγραμμα εγκατάστασης του Jupyter είναι μεταμφιεσμένο σε ένα αρχείο zip, και συχνά χρησιμοποιεί εικονίδια του Microsoft Word ή έχει συγκεκριμένο όνομα αρχείου που δημιουργεί την αίσθηση ότι πρέπει να ανοιχτεί επειγόντως (σημαντικό έγγραφο).
Εάν το installer εκτελεστεί, θα εγκαταστήσει νόμιμα εργαλεία σε μια προσπάθεια να κρύψει τον πραγματικό σκοπό της εγκατάστασης – λήψης. Στη συνέχεια, εκτελεί κακόβουλα προγράμματα σε προσωρινούς φακέλους στο background.
Όταν γίνει η πλήρης εγκατάσταση στο σύστημα του θύματος, το Jupyter trojan κλέβει πληροφορίες που περιλαμβάνουν ονόματα χρηστών, κωδικούς πρόσβασης, ιστορικό περιήγησης και cookies και τα στέλνει σε έναν command and control server, που προφανώς ελέγχεται από τους εγκληματίες. Σύμφωνα με τους ερευνητές, ο δημιουργός του Jupyter trojan αλλάζει συνεχώς τον κώδικα για να συλλέγει περισσότερες πληροφορίες, προσπαθώντας ταυτόχρονα να δυσκολέψει τη διαδικασία ανίχνευσής του.
Προς το παρόν, δεν είναι ξεκάθαρος ο σκοπός των εγκληματιών πίσω από το Jupyter trojan. Πιθανότατα, το χρησιμοποιούν για να κλέψουν πληροφορίες και να αποκτήσουν περαιτέρω πρόσβαση σε δίκτυα επιχειρήσεων και εκπαιδευτικών ιδρυμάτων. Επιπλέον, θα μπορούσαν να κλέβουν εξαιρετικά ευαίσθητα και σημαντικά δεδομένα για να τα πουλήσουν σε άλλους εγκληματίες (δίνοντάς τους πρόσβαση στα δίκτυα των θυμάτων).
Οι ερευνητές της Morphisec πιστεύουν ότι το Jupyter trojan προέρχεται από τη Ρωσία. Οι αναλύσεις έδειξαν ότι το malware συνδεόταν με command and control servers που βρίσκονται στη Ρωσία. Περαιτέρω αναλύσεις έδειξαν σχέσεις με ένα ρωσικό hacking φόρουμ.
Πολλοί από τους command servers είναι ανενεργοί αυτή τη στιγμή, αλλά ο πίνακας διαχείρισης εξακολουθεί να είναι ενεργός. Αυτό σημαίνει ότι οι malware εκστρατείες που χρησιμοποιούν το Jupyter πιθανότατα συνεχίζονται.
Πηγή: ZDNet