Специалисты по информационной безопасности из компании Morphisec обнаружили новое вредоносное ПО Jupyter. Соответствующая киберпреступная кампания с использованием этого трояна нацелена на промышленные предприятия и высшие учебные заведения. Вредонос активно связывают с российскими хакерами.
Троян Jupyter используется, чтобы украсть логины пользователей, пароли и другие конфиденциальные данные, а также для создания постоянного бэкдора в скомпрометированных системах.
Вредоносное ПО Jupyter относится к категории инфостилеров. Компания Morphisec уверена, что троян активен как минимум с мая 2020 г., когда впервые был обнаружен в сети одного из американских университетов.
Атака с использованием Jupyter направлена, прежде всего, на данные браузеров Chrome, Firefox, Chromium, но также у вредоноса есть дополнительный функционал для открытия бэкдора в скомпрометированных системах, что позволяет киберпреступникам выполнять команды и сценарии PowerShell, загружать и запускать дополнительное вредоносное ПО в системе жертвы.
Установщик Jupyter маскируется в виде заархивированного файла, зачастую с использованием значка MS Office или имен файлов, которые выглядят так, как будто их надо срочно открыть (например, они могут быть связаны с важными документами, информацией о поездках, с повышением заработной платы). После запуска установщика Jupyter он установит легальные инструменты для скрытия реальной цели – загрузки и запуска вредоносного ПО во временные папки скомпрометированной системы в фоновом режиме.
Эксперты по информационной безопасности Morphisec убеждены, что вредоносное ПО Jupyter исходит из России. Проведенный анализ трояна показал, что вредонос связан с российскими управляющими серверами. Также в админ-панели инфостилера есть изображение Юпитера – оригинальная картинка взята с одного и русскоязычных форумов.
После полной установки в системе жертвы вредоносное ПО начинает постепенно красть различные виды данных:
- имена пользователей;
- пароли;
- данные автозаполнения в браузерах;
- историю просмотров;
- файлы cookie.
После кражи вредонос отправляет данные на управляющий сервер. Специалисты из Morphisec отмечают, что создатели вредоносного ПО Jupyter постоянно меняют код, чтобы собрать как можно больше информации и для усложнения обнаружения жертв. Экспертам из Morphisec не совсем ясны точные мотивы операторов этого вредоносного ПО. Предполагается, что украденные данные могут быть использованы в дальнейшем киберпреступниками для проведения последующих кибератак.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
