Бесплатно Экспресс-аудит сайта:

28.09.2021

Новая версия вредоноса Jupyter распространяется через установщик MSI

Исследователи безопасности рассказали об эволюции Jupyter - инфостилера, написанного на языке программирования .NET и известного тем, что атакует исключительно медицинские и образовательные организации.

Обнаруженная специалистами ИБ-компании Morphisec 8 сентября 2021 года новая цепочка заражения не только свидетельствует о продолжающейся активности вредоноса, но и демонстрирует, «как злоумышленники продолжают развивать свои атаки, чтобы сделать их более эффективными и неуловимыми».

Впервые задокументированное в ноябре 2020 года вредоносное ПО Jupyter (другое название Solarmarker) предположительно было создано российскими разработчиками и предназначено для похищения данных из Firefox, Chrome и браузеров на базе Chromium. Кроме того, вредонос представляет собой полноценный бэкдор и способен похищать данные и загружать их на удаленный сервер, загружать и выполнять полезную нагрузку. По данным Morphisec, с мая 2020 года стали появляться новые версии Jupyter.

В августе 2021 года эксперты Cisco Talos отнесли атаки на счет "по-настоящему высококвалифицированного злоумышленника, в основном нацеленного на похищение учетных и других данных". В феврале нынешнего года ИБ-компания CrowdStrike описала вредонос как упакованное в многоэтапный, сильно обфусцированный загрузчик PowerShell, который приводит к выполнению бэкдора на .NET.

Хотя в предыдущих атаках использовались легитимные файлы известного ПО, такого как Docx2Rtf и Expert PDF, в недавно обнаруженной цепочке заражений стало использоваться PDF-приложение Nitro Pro.

Атака начинается с развертывания установщика MSI, размер которого превышает 100 МБ, позволяющего злоумышленникам обходить антивирусные решения. Установщик обфусцирован с помощью стороннего упаковщика приложений Advanced Installer.

После запуска MSI выполняется загрузчик PowerShell, встроенный в легитимный файл Nitro Pro 13, два варианта которого подписаны подлинными цифровыми сертификатами действительной компании в Польше. На завершающем этапе загрузчик декодирует и запускает в памяти .NET-модуль Jupyter.