Le due facce di Jupyter
Solitamente gli infostealer vengono propinati tramite semplici payload e con strutture implementate in modo essenziale per raccogliere ed esfiltrare dati privati e sensibili da un sistema target, senza particolari capacità di persistenza o propagazione, risultando pertanto difficili da rilevare. Possono inoltre agire come parte modulare di un malware più sofisticato come un trojan bancario o un RAT.
In questo panorama, secondo i ricercatori, Jupytersi presenta invece come un infostealer più raffinato e studiato per rubare informazioni principalmente sui browser Chromium, Firefox e Chrome anche con caratteristiche funzionali aggiuntive e peculiari di una backdoor capace di lanciare script, comandi powershell ed eseguire ulteriori malware di terze parti.
Le fasi di attacco
La catena di attacco di Jupyter inizia solitamente con il download di un file compresso .zip che contiene al suo interno un eseguibile camuffato da software legittimo, allestito tramite l’installer gratuito per Windows “Inno Setup” che, sfruttando il basso tasso di rilevamento su VirusTotal, potenzialmente consente di eludere la maggior parte dei controlli di sicurezza .
Nel tentativo di indurre le vittime a eseguirlo, i criminal hacker hanno configurato il pacchetto d’installazione assegnando agli eseguibili prodotti dei nomi verosimili con delle icone di Microsoft Word. Ecco alcuni dei nomi riscontrati:
“Sample-Letter-For-Emergency-Travel-Document.exe”,
“The-Electoral-Process-Worksheet-Key.exe”,
“Excel-Pay-Increase-Spreadsheet-Turotial-Bennett.exe”,
“Mathematical-Concepts-Precalculus-With-Applications-Solutions.exe”.
Qualora le vittime cadessero nel tranello, l’installer avvierà dei tools legittimi (“Docx2rtf” o “Magic Photo Manager”) come specchietto per le allodole, procedendo in background a iniettare in memoria, attraverso tecniche di process hollowing, il loader .NET di Jupiter ovvero un client in attesa di ricevere ulteriori comandi dal presidio C2. Infine, il download successivo di uno script PowerShell si occuperà di eseguire sempre in memoria il modulo .NET definitivo dell’infostealer.
Jupyter, una volta completamente installato sul sistema, ruberà credenziali, cronologie di navigazione e cookie inviandoli al server di comando e controllo C2.
La probabile origine russa
Per quanto riguarda la sua probabile origine, i ricercatori di Morphisec hanno trovato diverse evidenze che inducono a pensare che sia russa:
- Molti dei server C2 identificati, alcuni dei quali ora non più attivi, risultano dislocati in Russia;
- lo stesso nome “Jupyter” rimanda in qualche modo al nome del pianeta Giove in lingua russa “Yupiter”. Probabilmente è stato commesso un errore di ortografia nella traduzione dal russo all’inglese (“Jupiter”);
- L’immagine web del pannello amministrativo di Jupyter (admin panel) è stata trovata su diversi forum in lingua russa.
Considerazioni finali
Anche se molti dei server di comando risultano ora inattivi, l’admin panel ancora non lo è. Ciò fa ragionevolmente pensare che le campagne di Jupyter potrebbero ancora non essere finite del tutto e che anzi potrebbero espandere la loro potenza.
Le analisi condotte sui campioni di Jupyter, sin dal mese di maggio, mostrano che le ultime versioni rilevate possono stabilire anche una certa persistenza sul sistema compromesso attraverso l’uso del framework “PoshC2” (usualmente impiegato dai penetration tester e reperibile sulla piattaforma Github all’indirizzo https://github.com/nettitude/PoshC2) creando un file con estensione .lnk (link) nella cartella di avvio automatico del sistema operativo.
Ulteriori dettagli tecnici, gli IoC e il codice YARA per l’identificazione del malware sono disponibili sul rapporto “Threat Profile Jupyert infostealer”.