新恶意程序Jupyter带后门功能并窃取浏览器数据

Morphisec安全人员发现一个名为Jupyter的恶意程序，能够窃取Chromium、Firefox和Chrome浏览器中的重要数据。

据悉，Jupyter于2020年11月12日被监控到，该恶意程序不仅可窃取上述浏览器的恶意程序，还具备后门程序功能。

根据分析，Jupyter恶意程序属Infostealer恶意程序的新变种，最早版本于2020年05月被开发，11月初最新版本出现。

Infostealer是一种恶意木马程序，可以在用户完全不知情的情况下，在目标设备安装后门收集和窃取受害者敏感信息。

由于Infostealer木马具备有效符合轻量级且隐蔽特点，攻击过程中留下的痕迹较少，因此很难被安全软件检测和监控。

作为Infostealer变种木马，Jupyter恶意程序更新速度更快且出现时间较短，因此更容易逃避安全检测而危害受害者。

Jupyter恶意程序实际上可以视为是一个窃密工具，主要能够窃取Chromium，Firefox和Chrome浏览器中的重要数据。

值得注意的是，Jupyter恶意程序还能在受感染的系统中创建后门程序，其下载和加载程序带有一套完整的后门功能。

Jupyter攻击过程：受害者从网络下载带有伪造的Docx2Rtf等合法软件安装程序的ZIP文件后通常会在本地设备解压。

此时其中包含的后门程序.NET C&C客户端即C2客户端就会被注入到内存中，该C2客户端具备定义明确的通信协议。

接着该C2客户端会下载执行恶意软件，然后通过执行Windows Power Shell脚本命令，执行内存中Jupyter .NET模块。

值得注意的是，两个.Net模块具有相似的代码结构，这样就可以将shellcode注入到合法Windows配置应用程序中去。

Jupyter恶意程序更新速度比较快，最新版本中包含了可以让该程序长期驻留在受害者系统中的模块，用户很难察觉。

目前对于Jupyter恶意程序没有很好的防范办法，不随便点击不明链接、通过正规合法的渠道下载安装软件就能规避。