Morphisec 的研究人员发现说俄语的威胁行为者一直在使用一段 .NET 信息窃取器(被称为 Jupyter)来窃取受害者的信息。Jupyter 恶意软件能够从多个应用程序收集数据,包括主要浏览器(基于 Chromium 的浏览器、Firefox 和 Chrome),还能够在受感染的系统上建立后门。
“Jupyter 是一种信息窃取程序,主要针对 Chromium、Firefox 和 Chrome 浏览器数据。然而,它的攻击链、交付和加载程序展示了完整后门功能的附加功能。” 阅读 Morphisec 发表的分析。“这些包括:
C2客户端
下载并执行恶意软件
PowerShell 脚本和命令的执行
将 shellcode 挖空到合法的 Windows 配置应用程序中。”
专家在 10 月份的例行事件响应过程中发现了信息窃取程序,但根据法医数据,信息窃取程序的早期版本自 5 月以来已开发。该恶意软件不断更新以逃避检测并包括新的信息窃取功能,最新版本是在 11 月初创建的。在被发现时,攻击链开始于下载包含伪装成合法软件(即 Docx2Rtf)的安装程序(Inno Setup 可执行文件)的 ZIP 存档。2021 年 9 月 8 日,研究人员观察到一个新的交付链,该链能够通过使用 MSI 有效负载来避免检测,该有效负载执行Nitro Pro 13的合法安装二进制文件 。
MSI 安装程序有效负载大小超过 100MB,可绕过在线 AV 扫描程序,并使用名为 Advanced Installer 的第三方“一体式”应用程序打包工具进行混淆。在执行 MSI 负载时,将执行嵌入在 Nitro Pro 13 合法二进制文件中的 PowerShell 加载程序。“这个加载器与之前的 Jupyter 加载器非常相似,因为它保留了一个非常规避的文件,在 VirusTotal 上检测到的检测率低至 0,这对于完整的 PowerShell 加载器(带有嵌入式负载的加载器代码)来说是罕见的。” 专家发表的分析。“虽然 Jupyter 加载器在我们和其他博客中得到了广泛的介绍,但新变体共享相同的代码模式。以下代码块是它的去混淆和美化版本的示例。”
研究人员分析的两个变体都带有颁发给一家名为“ TACHOPARTS SP ZOO ”的波兰企业的有效证书。专家分析的另一个变体是用名为“ OOO Sistema ”的已撤销证书签名的。“从我们在 2020 年首次发现 Jupyter 信息窃取程序/后门开始,它的演变证明了威胁行为者总是在创新的说法是正确的。这种攻击对 VirusTotal 的检测率仍然很低或没有检测到,这进一步表明了威胁行为者逃避基于检测的解决方案的手段。” 专家总结道。“很明显,需要一种新的方法来预防威胁,因为这些规避攻击很可能会继续下去。”
评论已关闭。