近期,新型的Jupyter Infostealer变种版本一直都在不断发展和更新,该恶意软件的开发人员正在引入简单但功能强大的技术来提升Jupyter Infostealer变种版本的“杀伤力”。其中,大部分的努力和改进都旨在绕过安全检测并实现持久化感染。据了解,该恶意软件目前已成为了当前互联网环境中的十大感染之一,主要针对的是教育部门和卫生部门。
Jupyter Infostealer(又名Yellow Cockatoo、Solarmark、Polazert)是一种恶意软件变体,最早可以追溯到2020年年底。这款恶意软件一直都在进化和发展,并且一直在提升其检测绕过技术。在针对Chrome、Edge和Firefox浏览器的攻击场景中,Jupyter感染使用了SEO投毒和搜索引擎重定向来“鼓励”恶意文件下载,这也是Jupyter Infostealer攻击链中的初始攻击向量。除此之外,该恶意软件还具备敏感数据窃取、凭证收集和加密命令控制(C2)通信的能力。
Jupyter Infostealer的代码文件使用了有效证书进行签名,以尝试绕过安全检测。最近的Jupyter感染利用了多个证书对其恶意软件进行签名,从而允许目标设备或用户授权恶意软件,进而获取到针对目标设备的初始访问权。Jupyter近期使用的签名方如下:
ТОВ “Чеб” ТОВ “Софт Енжін юа” ТОВ “Трафік Девелоп ЮА”
跟很多其他的恶意软件一样,Jupyter Infostealer也会尝试使用多种方法来实现恶意软件的交付和感染。常见的交付方法包括恶意网站、路过式下载和网络钓鱼邮件等等。用户在访问受感染/恶意网站时,或点击恶意广告时,可能会在不知不觉中下载Jupyter Infostealer,而研究人员所观察到的用于下载该恶意软件最常见的应用程序就是Firefox、Chrome和Edge浏览器了。
An-employers-guide-to-group-health-continuation.exe How-To-Make-Edits-On-A-Word-Document-Permanent.exe 052214-WeatherPro-Power-Patio-Sport-Replacement-Fabric.exe Iv-Calculations-Practice-Questions-Pdf.exe Sister-Act-Libretto-Pdf.exe Coaches-Gift-Donations.exe Electron-Configuration-Practice.exe Environmental-Accounting-Education-Requirements.exe American-Born-Chinese.exe
上面给出的这些可执行文件都是由InnoSetup创建出来的,而InnoSetup则是一款针对Windows操作系统的开源安装包创建编译器。Jupyter Infostealer近期的新增感染基本都包含了一个 installer-bundle.exe文件,虽然可能文件名不太一样,但该文件保留了相同的哈希。
Autodesk
近些年来,Jupyter Infostealer表现出了非凡的进化和适应能力,其背后的开发人员也一直在增强它的安全检测规避和绕过能力。随着网络防御能力的不断增强,恶意软件也在不断寻找新的途径来入侵和感染目标系统,将来也会不断出现更多的新型恶意软件变种版本。
原文始发于微信公众号(FreeBuf):揭秘Jupyter新变体在近期激增的攻击活动
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论