网络安全研究人员发现了一个通过MSI安装程序分发的新版本的Jupyter infostealer。
2020年11月,Morphisec的研究人员发现,威胁者一直在使用.Net infostealer(记为Jupyter),从受害者那里窃取信息。
恶意软件Jupyter能够从多个应用程序收集数据,包括主要的浏览器(基于Chrome的浏览器,Firefox和Chrome),还能够在受感染的系统上建立后门。
“Jupyter是一个主要针对Chromium、Firefox和Chrome浏览器数据的信息收集器。然而,它的攻击链、传递链和加载程序充分说明它具备了建立完整后门功能的功能。”Morphisec发表的分析写道。它的行为包括:
- 一个C2的客户端
- 下载并执行恶意软件
- PowerShell脚本和命令的执行
- 将shellcode置入到合法的Windows配置应用程序中。
专家们在10月份的一次例行事件反应过程中发现了Jupyter infostealer,但根据取证数据,早在5月份该软件的早期版本就出现了。
该恶意软件不断更新,以逃避检测,并增加新的信息窃取功能,最新版本是在11月初创建的。
在发现它的时候,Jupyter正要下载一个ZIP归档文件,其中包含伪装成合法软件(即Docx2Rtf)的安装程序(innosetup可执行程序)。
2021年9月8日,研究人员观察到一个新的传递链,通过使用执行Nitro Pro 13合法安装二进制文件的MSI有效负载,该链能够避免检测。
MSI安装程序负载超过100MB,绕过在线AV扫描仪,并使用第三方的“一体化”应用程序打包工具,混淆视听。
在执行MSI有效负载时,一个嵌入在Nitro Pro 13合法二进制文件中的PowerShell加载程序将被执行。
“这个加载程序与以前的Jupyter加载程序非常相似,因为它在VirusTotal上持有一个躲避检测的文件,可使检测率低至0,这对于完整的PowerShell加载程序(带有嵌入式负载的加载程序代码)是很少见的。专家们发表的分析写道。“我们在各个博客中广泛讨论了Jupyter infostealer,发现新的变体使用的是相同的代码模式。
在研究人员分析的两种变体中,有一种是签发给一家名为“TACHOPARTS SP Z O O”的波兰企业的有效证书。专家分析的另一种变体带有一份名为“OOO Sistema”的已失效证书。
“自我们在2020年首次发现Jupyter infostealer/后门以来,它的进化证明了威胁者总是在创新手段。他们的攻击可以轻易通过VirusTotal的检测,这进一步表明威胁者利用各种手段逃避检测方案。”专家们总结道,“显然,我们需要一种新的方法来预防威胁。”
消息来源:SecurityAffairs,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接