Accueil La cyber-sécurité La nouvelle version de Jupyter Infostealer émerge avec des tactiques furtives sophistiquées

La nouvelle version de Jupyter Infostealer émerge avec des tactiques furtives sophistiquées

0
La nouvelle version de Jupyter Infostealer émerge avec des tactiques furtives sophistiquées


06 novembre 2023RédactionSécurité des données/publicité malveillante

Voleur d'informations Jupyter

Une version mise à jour d’un malware voleur d’informations connu sous le nom de Jupyter a refait surface avec des « changements simples mais efficaces » qui visent à établir furtivement un pied persistant sur les systèmes compromis.

« L’équipe a découvert de nouvelles vagues d’attaques Jupyter Infostealer qui exploitent les modifications de commandes PowerShell et les signatures de clés privées pour tenter de faire passer le logiciel malveillant pour un fichier légitimement signé », ont déclaré les chercheurs de VMware Carbon Black. dit dans un rapport partagé avec The Hacker News.

Jupyter Infostealer, également connu sous les noms de Polazert, SolarMarker et Yellow Cockatoo, possède un historique de tirer parti des tactiques manipulées d’optimisation des moteurs de recherche (SEO) et de la publicité malveillante comme vecteur d’accès initial pour inciter les utilisateurs à la recherche de logiciels populaires à les télécharger à partir de sites Web douteux.

Il est doté de capacités permettant de collecter des informations d’identification et d’établir une communication de commande et de contrôle (C2) cryptée pour exfiltrer des données et exécuter des commandes arbitraires.

Le dernier ensemble d’artefacts utilise divers certificats pour signer les logiciels malveillants afin de leur conférer un vernis de légitimité, uniquement pour que les faux installateurs activent la chaîne d’infection lors du lancement.

Les installateurs sont conçus pour invoquer une charge utile intermédiaire qui, à son tour, utilise PowerShell pour se connecter à un serveur distant et finalement décoder et lancer le logiciel malveillant voleur.

La cyber-sécurité

Cette évolution intervient alors que les malwares voleurs proposés à la vente sur le marché clandestin de la cybercriminalité continuent d’évoluer avec de nouvelles tactiques et techniques, réduisant ainsi les barrières à l’entrée pour les acteurs moins qualifiés.

Cela inclut une mise à jour de Voleur de Lummaqui intègre désormais un chargeur et la possibilité de générer aléatoirement une version pour une obfuscation améliorée.

« Cela fait passer le malware d’un type de voleur à un malware plus sournois capable de lancer des attaques de deuxième étape sur ses victimes », VMware dit. « Le chargeur offre à l’acteur malveillant un moyen de faire évoluer son attaque du vol de données jusqu’à l’infection de ses victimes avec un ransomware. »

Une autre famille de logiciels malveillants voleurs qui a reçu des améliorations constantes est Voleur mystiquequi a également ajouté une fonctionnalité de chargement dans les versions récentes pour compléter ses capacités de vol d’informations.

Voleur d'informations Jupyter

« Le code continue d’évoluer et d’étendre les capacités de vol de données et la communication réseau a été mise à jour d’un protocole binaire personnalisé basé sur TCP à un protocole basé sur HTTP », Zscaler dit dans un rapport à la fin du mois dernier.

« Les nouvelles modifications ont conduit à une popularité croissante auprès des acteurs de la menace criminelle qui exploitent sa fonctionnalité de chargement pour distribuer des familles de logiciels malveillants supplémentaires, notamment RedLine, Porte Sombreet GCleaner. »

La nature en constante évolution de ces logiciels malveillants est encore illustrée par l’émergence de voleurs et de chevaux de Troie d’accès à distance tels que Akira Voleur et RAT du millénairequi sont dotés de diverses fonctionnalités pour faciliter le vol de données.

La cyber-sécurité

La divulgation arrive également lorsque des chargeurs de logiciels malveillants comme Chargeur privé et Amadey ont été observés infectant des milliers d’appareils avec un botnet proxy baptisé Socks5Systemz, qui existe depuis 2016.

La société de cybersécurité Bitsight, qui détails révélés du service la semaine dernière, a déclaré avoir identifié au moins 53 serveurs liés au botnet répartis en France, en Bulgarie, aux Pays-Bas et en Suède.

Le but ultime de la campagne est de transformer les machines infectées en proxys capable de transmettre du trafic à d’autres acteurs, légitimes ou non, comme couche supplémentaire d’anonymat. On soupçonne que les auteurs de la menace sont d’origine russe, étant donné l’absence d’infections dans le pays.

« Le service proxy permet aux clients de choisir un abonnement allant de 1 USD à 4 000 USD, payable intégralement en crypto-monnaie », a déclaré Bitsight. « Sur la base d’une analyse de télémétrie du réseau, on estime que ce botnet compte environ 10 000 systèmes infectés dont les victimes sont réparties dans le monde entier. »

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.



LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici