La evasiva campaña de robo de información de Jupyter muestra una variante peligrosa

Los investigadores de seguridad han detectado un aumento reciente en los ataques que involucran una nueva y sofisticada variante de Jupyter, un ladrón de información que ha estado dirigido a los usuarios de los navegadores Chrome, Edge y Firefox desde al menos 2020.

El malware, también conocido como Yellow Cockatoo, Solarmarker y Polazert, puede hacer puertas traseras a las máquinas y recopilar una variedad de información de credenciales, incluido el nombre de la computadora, los privilegios de administrador del usuario, cookies, datos web, información del administrador de contraseñas del navegador y otros datos confidenciales de sistemas de víctimas, como inicios de sesión para criptomonederos y aplicaciones de acceso remoto.

Una amenaza cibernética persistente de robo de datos

Investigadores del servicio de detección y respuesta gestionada (MDR) Carbon Black de VMware recientemente observó la nueva versión del malware que aprovecha las modificaciones de los comandos de PowerShell y las cargas útiles firmadas digitalmente y de aspecto legítimo, infectando un número cada vez mayor de sistemas desde finales de octubre.

"Las recientes infecciones de Jupyter utilizan múltiples certificados para firmar su malware, lo que, a su vez, puede permitir otorgar confianza al archivo malicioso, proporcionando acceso inicial a la máquina de la víctima", dijo VMware en su blog de seguridad esta semana. "Estas modificaciones parecen mejorar las capacidades de evasión [de Jupyter], permitiéndole pasar desapercibido".

Morfiseco y BlackBerry (otros dos proveedores que han rastreado previamente a Jupyter) han identificado el malware como capaz de funcionar como una puerta trasera completa. Han descrito sus capacidades como soporte para comunicaciones de comando y control (C2), actuando como gotero y cargador de otro malware, vaciando código shell para evadir la detección y ejecutando scripts y comandos de PowerShell.

BlackBerry ha informado haber observado que Jupyter también apunta a carteras criptográficas, como Ethereum Wallet, MyMonero Wallet y Atomic Wallet, además de acceder a OpenVPN, Remote Desktop Protocol y otras aplicaciones de acceso remoto.

Los operadores del malware han utilizado una variedad de técnicas para distribuirlo, incluidas redirecciones de motores de búsqueda a sitios web maliciosos, descargas no autorizadas, phishing y envenenamiento de SEO, o manipulación maliciosa de los resultados de los motores de búsqueda para entregar malware.

Jupyter: Cómo sortear la detección de malware

En los ataques más recientes, el actor de amenazas detrás de Jupyter ha estado utilizando certificados válidos para firmar digitalmente el malware para que parezca legítimo para las herramientas de detección de malware. Los archivos tienen nombres diseñados para intentar engañar a los usuarios para que los abran, con títulos como "Una-guía-para-empleadores-para-continuación-de-salud-grupal.exe y Cómo-hacer-ediciones-en-un-documento-Word-Permanent.exe".

Los investigadores de VMware observaron que el malware realizaba múltiples conexiones de red a su servidor C2 para descifrar la carga útil del ladrón de información y cargarla en la memoria, casi inmediatamente después de aterrizar en el sistema víctima.

"Dirigidas a los navegadores Chrome, Edge y Firefox, las infecciones de Jupyter utilizan envenenamiento de SEO y redirecciones de motores de búsqueda para fomentar la descarga de archivos maliciosos que son el vector de ataque inicial en la cadena de ataque", según el informe de VMware. "El malware ha demostrado capacidades de recolección de credenciales y comunicación C2 cifrada utilizadas para filtrar datos confidenciales".

Un aumento preocupante de ladrones de información

Jupyter se encuentra entre las 10 infecciones más frecuentes que VMware ha detectado en las redes de clientes en los últimos años, según el proveedor. Esto es consistente con lo que otros han informado sobre un aumento agudo y preocupante en el uso de ladrones de información tras el cambio a gran escala hacia el trabajo remoto en muchas organizaciones después de que comenzara la pandemia de COVID-19.

Canario rojo, por ejemplo, informó que los ladrones de información como RedLine, Racoon y Vidar figuraron en sus listas de los 10 principales varias veces en 2022. La mayoría de las veces, el malware llegaba como archivos de instalación falsos o envenenados para software legítimo a través de anuncios maliciosos o mediante manipulación de SEO. La empresa descubrió que los atacantes utilizaban el malware principalmente para intentar recopilar credenciales de trabajadores remotos que permitieran un acceso rápido, persistente y privilegiado a las redes y sistemas empresariales.

"Ninguna industria es inmune al malware ladrón y la propagación de dicho malware suele ser oportunista, generalmente a través de publicidad y manipulación de SEO", dijeron los investigadores de Red Canary.

Uptycs reportó un aumento similar y preocupante en distribución de robo de información a principios de este año. Los datos que la compañía rastreó mostraron que la cantidad de incidentes en los que un atacante implementó un ladrón de información se duplicó con creces en el primer trimestre de 2023, en comparación con el mismo período del año pasado. El proveedor de seguridad encontró actores de amenazas que usaban el malware para robar nombres de usuario y contraseñas, información del navegador, como perfiles e información de autocompletar, información de tarjetas de crédito, información de billetera criptográfica e información del sistema. Los ladrones de información más nuevos, como Rhadamanthys, también pueden robar específicamente registros de aplicaciones de autenticación multifactor, según Uptycs. Los registros que contienen los datos robados se venden luego en foros criminales, donde hay una gran demanda.

“La exfiltración de datos robados tiene un impacto peligroso en las organizaciones o individuos, ya que puede venderse fácilmente en la web oscura como punto de acceso inicial para otros actores de amenazas”, advirtieron los investigadores de Uptycs.

Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
Fuente: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant

Inteligencia de datos generativa

La campaña evasiva de robo de información de Jupyter muestra una variante peligrosa

Una amenaza cibernética persistente de robo de datos

Jupyter: Cómo sortear la detección de malware

Un aumento preocupante de ladrones de información

Tres claves para que los Islanders ganen el quinto juego

Los Lakers obtienen la codiciada victoria contra Denver, ahora abajo 3-1 en la serie

Información más reciente

ESL Challenger Melbourne 2024: puntuaciones, clasificaciones y más – Snowball Esports

Los entusiastas de Dogecoin y Pepecoin se unen detrás del nuevo token de IA lanzado por la plataforma Wahoo Exchange – CryptoInfoNet

Lecciones del ensayo FTX: Regular los CEX puede no ser suficiente para prevenir malos actores | Opinión – CryptoInfoNet

La ingeniería explicada se sumerge en los “engranajes” del Ioniq 5 N y otras características de rendimiento – CleanTechnica

El oro puede haber señalado el fin del repunte de Bitcoin (BTC), según el analista Benjamin Cowen: esto es lo que quiere decir – The Daily Hodl

Litecoin en llamas: una señal misteriosa apunta a una explosión de precios de $100