Jupyter Infostealer

Le Jupyter Infostealer est une nouvelle souche d'un malware .NET qui a été conçu pour récolter des données spécifiques à partir des ordinateurs compromis. La menace semble cibler trois grands groupes de navigateurs grand public: Chrome, les navigateurs basés sur Chromium et Firefox. Les opérations menaçantes de Jupyter ont été étendues à un niveau au-delà d'un simple infostealer avec l'ajout de capacités de porte dérobée. La menace dispose d'une infrastructure de commande et de contrôle (C2, C&C) établie, elle peut télécharger et exécuter des charges utiles de logiciels malveillants supplémentaires et exécuter des commandes et des scripts PowerShell arbitraires.

Selon les chercheurs de Morphisec, cette menace infostealer particulière a été développée par un groupe de hackers russe ou russophone. De nombreux faits étayent la conclusion du chercheur: une partie importante de l'infrastructure C2 mise en place pour Jupyter est située en Russie, une faute de frappe du Jupyter trouvée dans le code de la menace est courante lorsque le nom est converti du russe, et des images assez révélatrices de Le panneau d'administration de Jupyter a été découvert sous forme de messages sur un forum de hackers russe.

La chaîne d'attaque de Jupyter Infostealer commence par la diffusion d'e-mails de phishing contenant des pièces jointes d'archives empoisonnées. Les archives .ZIP contiennent le programme d'installation corrompu de la menace déguisé en document Word innocent. Les pirates utilisent plusieurs noms différents pour les documents contenant des logiciels malveillants dans le but d'inciter la victime à les exécuter. Certains des noms incluent:

• 'Exemple-de-lettre-pour-urgence-voyage-document.exe'
• 'The-Electoral-Process-Worksheet-Key.exe'
• 'Excel-Pay-Augmentation-Spreadsheet-Turotial-Bennett.exe'
• "Mathematical-Concepts-Precalculus-With-Applications-Solutions.exe."

Si la victime tombe pour le piège, l'installateur procédera à l'injection d'un chargeur .NET en mémoire grâce à une technique de creusement de processus. Le processus agit comme un client C2, écoutant les commandes envoyées par les attaquants. La phase suivante de la chaîne d'attaque consiste à télécharger une commande PowerShell chargée d'exécuter le module Jupyter Infostealer .NET en mémoire.

L'analyse de plusieurs échantillons de Jupyter montre que la menace est en cours de développement actif qui pourrait encore étendre sa puissance. Par exemple, plus tard, les versions de Jupyter peuvent atteindre la persistance sur le système compromis - grâce à l'utilisation du framework PoshC2, un fichier .LNK de raccourci est placé dans le dossier de démarrage du système d'exploitation.