Key4biz

Jupyter: il nuovo infostealer raffinato che colpisce Chromium, Firefox e Chrome

cyber

Le due facce di Jupyter

Solitamente gli infostealer vengono propinati tramite semplici payload e con strutture implementate in modo essenziale per raccogliere ed esfiltrare dati privati e sensibili da un sistema target, senza particolari capacità di persistenza o propagazione, risultando pertanto difficili da rilevare.  Possono inoltre agire come parte modulare di un malware più sofisticato come un trojan bancario o un RAT.

In questo panorama, secondo i ricercatori, Jupytersi presenta invece come un infostealer più raffinato e studiato per rubare informazioni principalmente sui browser Chromium, Firefox e Chrome anche con caratteristiche funzionali aggiuntive e peculiari di una backdoor capace di lanciare script, comandi powershell ed eseguire ulteriori malware di terze parti.

Le fasi di attacco

La catena di attacco di Jupyter inizia solitamente con il download di un file compresso .zip che contiene al suo interno un eseguibile camuffato da software legittimo, allestito tramite l’installer gratuito per Windows “Inno Setup” che, sfruttando il basso tasso di rilevamento su VirusTotal, potenzialmente consente di eludere la maggior parte dei controlli di sicurezza .

Nel tentativo di indurre le vittime a eseguirlo, i criminal hacker hanno configurato il pacchetto d’installazione assegnando agli eseguibili prodotti dei nomi verosimili con delle icone di Microsoft Word. Ecco alcuni dei nomi riscontrati:

“Sample-Letter-For-Emergency-Travel-Document.exe”,

 “The-Electoral-Process-Worksheet-Key.exe”,

“Excel-Pay-Increase-Spreadsheet-Turotial-Bennett.exe”,

 “Mathematical-Concepts-Precalculus-With-Applications-Solutions.exe”.

Qualora le vittime cadessero nel tranello, l’installer avvierà dei tools legittimi (“Docx2rtf” o “Magic Photo Manager”) come specchietto per le allodole, procedendo in background a iniettare in memoria, attraverso tecniche di process hollowing, il loader .NET di Jupiter ovvero un client in attesa di ricevere ulteriori comandi dal presidio C2. Infine, il download successivo di uno script PowerShell si occuperà di eseguire sempre in memoria il modulo .NET definitivo dell’infostealer. 

Jupyter, una volta completamente installato sul sistema, ruberà credenziali, cronologie di navigazione e cookie inviandoli al server di comando e controllo C2.

La probabile origine russa

Per quanto riguarda la sua probabile origine, i ricercatori di Morphisec hanno trovato diverse evidenze che inducono a pensare che sia russa:

Considerazioni finali

Anche se molti dei server di comando risultano ora inattivi, l’admin panel ancora non lo è. Ciò fa ragionevolmente pensare che le campagne di Jupyter potrebbero ancora non essere finite del tutto e che anzi potrebbero espandere la loro potenza.

Le analisi condotte sui campioni di Jupyter, sin dal mese di maggio, mostrano che le ultime versioni rilevate possono stabilire anche una certa persistenza sul sistema compromesso attraverso l’uso del framework “PoshC2” (usualmente impiegato dai penetration tester e reperibile sulla piattaforma Github all’indirizzo https://github.com/nettitude/PoshC2) creando un file con estensione .lnk (link) nella cartella di avvio automatico del sistema operativo.

Ulteriori dettagli tecnici, gli IoC e il codice YARA per l’identificazione del malware sono disponibili sul rapporto “Threat Profile Jupyert infostealer”. 

Exit mobile version