新恶意程序Jupyter带后门功能并窃取浏览器数据
- A
Morphisec安全人员发现一个名为Jupyter的恶意程序,能够窃取Chromium、Firefox和Chrome浏览器中的重要数据。
据悉,Jupyter于2020年11月12日被监控到,该恶意程序不仅可窃取上述浏览器的恶意程序,还具备后门程序功能。
根据分析,Jupyter恶意程序属Infostealer恶意程序的新变种,最早版本于2020年05月被开发,11月初最新版本出现。
Infostealer是一种恶意木马程序,可以在用户完全不知情的情况下,在目标设备安装后门收集和窃取受害者敏感信息。
由于Infostealer木马具备有效符合轻量级且隐蔽特点,攻击过程中留下的痕迹较少,因此很难被安全软件检测和监控。
作为Infostealer变种木马,Jupyter恶意程序更新速度更快且出现时间较短,因此更容易逃避安全检测而危害受害者。
Jupyter恶意程序实际上可以视为是一个窃密工具,主要能够窃取Chromium,Firefox和Chrome浏览器中的重要数据。
值得注意的是,Jupyter恶意程序还能在受感染的系统中创建后门程序,其下载和加载程序带有一套完整的后门功能。
Jupyter攻击过程:受害者从网络下载带有伪造的Docx2Rtf等合法软件安装程序的ZIP文件后通常会在本地设备解压。
此时其中包含的后门程序.NET C&C客户端即C2客户端就会被注入到内存中,该C2客户端具备定义明确的通信协议。
接着该C2客户端会下载执行恶意软件,然后通过执行Windows Power Shell脚本命令,执行内存中Jupyter .NET模块。
值得注意的是,两个.Net模块具有相似的代码结构,这样就可以将shellcode注入到合法Windows配置应用程序中去。
Jupyter恶意程序更新速度比较快,最新版本中包含了可以让该程序长期驻留在受害者系统中的模块,用户很难察觉。
目前对于Jupyter恶意程序没有很好的防范办法,不随便点击不明链接、通过正规合法的渠道下载安装软件就能规避。
