Jupyter è il nuovo malware che prende di mira aziende e istituti scolastici
Il malware prende di mira i browser Firefox, Chrome e quelli basati su Chromium e sottrae nomi utenti, password, dati di navigazione e cookie. In attività sin da maggio, ora potrebbe essere in fase dormiente
di Andrea Bai pubblicata il 18 Novembre 2020, alle 19:01 nel canale SicurezzaE' stata scoperta nei giorni scorsi una nuova campagna di malware trojan che prende di mira aziende ed istituti scolastici allo scopo di sottrarre credenziali di accesso e informazioni private, oltre ad allestire una backdoor per ottenere un accesso persistente ai sistemi compromessi. Il trojan si chiama Jupyter ed è stato analizzato dalla società di sicurezza informatica Morphisec.
Jupyter è stato scoperto sulla rete di un istituto scolastico statunitense, e la sua attività risalirebbe addirittura a maggio di quest'anno. L'attacco mette nel mirino i dati di navigazione di Firefox e Chrome e dei browser basati su Chromium, e include anche, come detto, l'installazione di una backdoor sui sistemi bersaglio così che gli attaccanti possano seguire script e comandi da remoto, oltre ad assicurarsi un accesso che permetta loro di installare altri malware.
Jupyter: malware nascosto in un file .zip, ruba password e dati di navigazione
L'installer di Jupyter viene occultato in un file compresso .zip, utilizzando icone e nomi di file che inducono l'utente ad aprirlo senza troppo pensarci. Quando il programma viene eseguito, inizialmente lancia l'installazione di alcuni strumenti legittimi per cercare di occultare il vero scopo dell'operazione, e cioè scaricare in background i componenti per l'esecuzione di un programma di installazione dannoso in cartelle temporanee.
Una volta che l'installazione di Jupyter è completa, il malware sottrae informazioni come nomi utente, password, completamenti automatici, cronologia di navigazione e cookie e il "bottino" viene inviato ad un server command and control. L'analisi di Morphisec mostra che l'autore del malware, chiunque esso sia, ha fatto in modo tale che Jupyter modifica costantemente il codice, anche per raccogliere ulteriori informazioni, così da essere più difficilmente rilevabile.
Attualmente non è chiaro quale possa essere la destinazione d'uso esatta per le informazioni rubate, ma è verosimile immaginare che possano essere impiegate sia per ottenere ulteriori punti d'accesso alle reti, e sottrarre dati potenzialmente più delicati e di valore, sia vendute a terzi interessati allo stesso scopo.
Secondo quanto affermato dai ricercatori Morphisec, Jupyter avrebbe origini russe: il server command and control sarebbe infatti dislocato in Russia, mentre una ricerca delle immagini del pianeta Giove inserite nel pannello di amministrazione del malware riconduce ad un forum in lingua russa. Infine il nome Jupyter fa pensare ad un errore di ortografia nella trascrizione del nome del pianeta.
Molti dei server command and control risulterebbero inattivi, ma il pannello di amministrazione è ancora funzionante il che suggerisce che Jupyter potrebbe essere semplicemente in uno stato "dormiente" e le campagne di infezione non siano in realtà ancora terminate.
6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoNell'articolo dicono che avvia una installazione, e se è una installazione l'UAC dovrebbe bloccarla, o mi sbaglio io? (Mi capita di lavorare su domini ma non sono sistemista).
Quindi riuscirebbe a sfruttare un prompt con i semplici privilegi di utente standard? Bella rogna in tal senso...
In questo modo hanno privilegi limitati, per avere tutti i privilegi devono comunque attivare l'UAC e l'utente deve pigiare "YES". Però se lo fanno lanciando uno script con PowerShell, il popup di UAC è bianco, non giallo e l'utente medio al 90% clicca "YES".
L'utente medio aziendale, però, "Sì" non lo può cliccare.
Resta il fatto che le password di Chrome te la dovrebbe riuscire a fregare comunque
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".