揭秘Jupyter新变体在近期激增的攻击活动

近期，新型的Jupyter Infostealer变种版本一直都在不断发展和更新，该恶意软件的开发人员正在引入简单但功能强大的技术来提升Jupyter Infostealer变种版本的“杀伤力”。其中，大部分的努力和改进都旨在绕过安全检测并实现持久化感染。据了解，该恶意软件目前已成为了当前互联网环境中的十大感染之一，主要针对的是教育部门和卫生部门。

Jupyter Infostealer（又名Yellow Cockatoo、Solarmark、Polazert）是一种恶意软件变体，最早可以追溯到2020年年底。这款恶意软件一直都在进化和发展，并且一直在提升其检测绕过技术。在针对Chrome、Edge和Firefox浏览器的攻击场景中，Jupyter感染使用了SEO投毒和搜索引擎重定向来“鼓励”恶意文件下载，这也是Jupyter Infostealer攻击链中的初始攻击向量。除此之外，该恶意软件还具备敏感数据窃取、凭证收集和加密命令控制（C2）通信的能力。

Jupyter Infostealer的代码文件使用了有效证书进行签名，以尝试绕过安全检测。最近的Jupyter感染利用了多个证书对其恶意软件进行签名，从而允许目标设备或用户授权恶意软件，进而获取到针对目标设备的初始访问权。Jupyter近期使用的签名方如下：

ТОВ “Чеб”

ТОВ “Софт Енжін юа”

ТОВ “Трафік Девелоп ЮА”

跟很多其他的恶意软件一样，Jupyter Infostealer也会尝试使用多种方法来实现恶意软件的交付和感染。常见的交付方法包括恶意网站、路过式下载和网络钓鱼邮件等等。用户在访问受感染/恶意网站时，或点击恶意广告时，可能会在不知不觉中下载Jupyter Infostealer，而研究人员所观察到的用于下载该恶意软件最常见的应用程序就是Firefox、Chrome和Edge浏览器了。

An-employers-guide-to-group-health-continuation.exe

How-To-Make-Edits-On-A-Word-Document-Permanent.exe

052214-WeatherPro-Power-Patio-Sport-Replacement-Fabric.exe

Iv-Calculations-Practice-Questions-Pdf.exe

Sister-Act-Libretto-Pdf.exe

Coaches-Gift-Donations.exe

Electron-Configuration-Practice.exe

Environmental-Accounting-Education-Requirements.exe

American-Born-Chinese.exe

上面给出的这些可执行文件都是由InnoSetup创建出来的，而InnoSetup则是一款针对Windows操作系统的开源安装包创建编译器。Jupyter Infostealer近期的新增感染基本都包含了一个 installer-bundle.exe文件，虽然可能文件名不太一样，但该文件保留了相同的哈希。

Autodesk

近些年来，Jupyter Infostealer表现出了非凡的进化和适应能力，其背后的开发人员也一直在增强它的安全检测规避和绕过能力。随着网络防御能力的不断增强，恶意软件也在不断寻找新的途径来入侵和感染目标系统，将来也会不断出现更多的新型恶意软件变种版本。