Jupyter Infostealer

Der Jupyter Infostealer ist eine neue Sorte einer .NET-Malware, die entwickelt wurde, um bestimmte Daten von den gefährdeten Computern zu sammeln. Die Bedrohung scheint auf drei Hauptgruppen von Mainstream-Browsern abzuzielen - Chrome, Chromium-basierter Browser und Firefox. Jupyters Bedrohungsoperationen wurden durch Backdoor-Funktionen auf ein Niveau erweitert, das über einen einfachen Infostealer hinausgeht. Die Bedrohung verfügt über eine etablierte Command-and-Control-Infrastruktur (C2, C&C), kann zusätzliche Malware-Nutzdaten herunterladen und ausführen sowie beliebige PowerShell-Befehle und -Skripts ausführen.

Laut den Forschern von Morphisec wurde diese besondere Infostealer-Bedrohung von einer in Russland ansässigen oder russischsprachigen Hacker-Gruppe entwickelt. Mehrere Fakten stützen die Schlussfolgerung des Forschers: Ein erheblicher Teil der für Jupyter eingerichteten C2-Infrastruktur befindet sich in Russland. Ein Tippfehler des Jupyter im Code der Bedrohung ist häufig, wenn der Name aus dem Russischen konvertiert wird, und ziemlich aussagekräftige Bilder von Jupyters Verwaltungspanel wurde als Beitrag in einem russischen Hackerforum entdeckt.

Die Angriffskette des Jupyter Infostealer beginnt mit der Verbreitung von Phishing-E-Mails mit vergifteten Archivanhängen. Die .ZIP-Archive enthalten das beschädigte Installationsprogramm der Bedrohung, das als unschuldiges Word-Dokument getarnt ist. Die Hacker verwenden verschiedene Namen für die mit Malware geschnürten Dokumente, um das Opfer zur Ausführung zu verleiten. Einige der Namen umfassen:

• 'Musterbrief-für-Notfall-Reisedokument.exe'
• 'The-Electoral-Process-Worksheet-Key.exe'
• 'Excel-Pay-Increase-Spreadsheet-Turotial-Bennett.exe'
• "Mathematische Konzepte-Precalculus-With-Applications-Solutions.exe."

Wenn das Opfer in die Falle fällt, injiziert das Installationsprogramm einen .NET-Loader mithilfe einer Prozessaushöhlungstechnik in den Speicher. Der Prozess fungiert als C2-Client und wartet auf Befehle, die von den Angreifern gesendet werden. Die nächste Phase der Angriffskette besteht aus dem Herunterladen eines PowerShell-Befehls, der für die Ausführung des Jupyter Infostealer .NET-Moduls im Speicher verantwortlich ist.

Die Analyse mehrerer Jupyter-Proben zeigt, dass sich die Bedrohung in einer aktiven Entwicklung befindet, die ihre Wirksamkeit weiter ausbauen könnte. Beispielsweise können Jupyter-Versionen später auf dem gefährdeten System eine Persistenz erreichen. Durch die Verwendung des PoshC2-Frameworks wird eine Verknüpfungs-.LNK-Datei im Startordner des Betriebssystems abgelegt.