Новая версия вредоноса Jupyter распространяется через установщик MSI

Новости IT-индустрии

Исследователи безопасности рассказали об эволюции Jupyter — инфостилера, написанного на языке программирования .NET и известного тем, что атакует исключительно медицинские и образовательные организации.

Видео дня

Обнаруженная специалистами ИБ-компании Morphisec 8 сентября 2021 года новая цепочка заражения не только свидетельствует о продолжающейся активности вредоноса, но и демонстрирует, «как злоумышленники продолжают развивать свои атаки, чтобы сделать их более эффективными и неуловимыми».

Впервые задокументированное в ноябре 2020 года вредоносное ПО Jupyter (другое название Solarmarker) предположительно было создано российскими разработчиками и предназначено для похищения данных из Firefox, Chrome и браузеров на базе Chromium. Кроме того, вредонос представляет собой полноценный бэкдор и способен похищать данные и загружать их на удаленный сервер, загружать и выполнять полезную нагрузку. По данным Morphisec, с мая 2020 года стали появляться новые версии Jupyter.

В августе 2021 года эксперты Cisco Talos отнесли атаки на счет «по-настоящему высококвалифицированного злоумышленника, в основном нацеленного на похищение учетных и других данных». В феврале нынешнего года ИБ-компания CrowdStrike описала вредонос как упакованное в многоэтапный, сильно обфусцированный загрузчик PowerShell, который приводит к выполнению бэкдора на .NET.

Хотя в предыдущих атаках использовались легитимные файлы известного ПО, такого как Docx2Rtf и Expert PDF, в недавно обнаруженной цепочке заражений стало использоваться PDF-приложение Nitro Pro.

Атака начинается с развертывания установщика MSI, размер которого превышает 100 МБ, позволяющего злоумышленникам обходить антивирусные решения. Установщик обфусцирован с помощью стороннего упаковщика приложений Advanced Installer.

После запуска MSI выполняется загрузчик PowerShell, встроенный в легитимный файл Nitro Pro 13, два варианта которого подписаны подлинными цифровыми сертификатами действительной компании в Польше. На завершающем этапе загрузчик декодирует и запускает в памяти .NET-модуль Jupyter.

В Нижнем Новгороде стартовало обучение в школе олимпиадного программирования
Общению поможет цифровой сурдопереводчик
Вам также может быть интересно
Новости IT-индустрии
Свыше 140 тыс. человек осенью начнут обучаться на курсах «Код будущего»
МОСКВА, 5 октября. /ТАСС/. Более 140 тыс. человек приступят к обучению в рамках бесплатных
Путин в шутку пристыдил Грефа за просьбу дать денег на "Школу21"
Новости IT-индустрии
Путин в шутку пристыдил Грефа за просьбу дать денег на «Школу21»
Президент РФ Владимир Путин пообещал главе Сбера Герману Грефу помочь федеральными деньгами в строительстве
Новости IT-индустрии
Московские школьники примут участие в командной олимпиаде по программированию
Учащиеся 5–11 классов столичных школ смогут принять участие в Московской командной олимпиаде по программированию.
Новости IT-индустрии
«Молодежь Москвы» приглашает студентов на мастер-классы по информационной безопасности
Серию мастер-классов по информационной безопасности проведут для студентов ведущие специалисты проекта «КиберМосква» в сфере информационной безопасности, программирования
Новости IT-индустрии
Колледж предпринимательства № 11 проведет День открытых дверей
30 сентября колледж предпринимательства №11 приглашает на День открытых дверей. Об этом сообщили в
Школа в проезде Аэропорта открывает два новых направления дополнительного образования
Новости IT-индустрии
Школа в проезде Аэропорта открывает два новых направления дополнительного образования
Школа № 1287 открывает направления дополнительного образования для школьников и дошкольников по программированию и
ITandLife.ru