Jupyter è il nuovo malware che prende di mira aziende e istituti scolastici

Jupyter è il nuovo malware che prende di mira aziende e istituti scolastici

Il malware prende di mira i browser Firefox, Chrome e quelli basati su Chromium e sottrae nomi utenti, password, dati di navigazione e cookie. In attività sin da maggio, ora potrebbe essere in fase dormiente

di pubblicata il , alle 19:01 nel canale Sicurezza
 

E' stata scoperta nei giorni scorsi una nuova campagna di malware trojan che prende di mira aziende ed istituti scolastici allo scopo di sottrarre credenziali di accesso e informazioni private, oltre ad allestire una backdoor per ottenere un accesso persistente ai sistemi compromessi. Il trojan si chiama Jupyter ed è stato analizzato dalla società di sicurezza informatica Morphisec.

Jupyter è stato scoperto sulla rete di un istituto scolastico statunitense, e la sua attività risalirebbe addirittura a maggio di quest'anno. L'attacco mette nel mirino i dati di navigazione di Firefox e Chrome e dei browser basati su Chromium, e include anche, come detto, l'installazione di una backdoor sui sistemi bersaglio così che gli attaccanti possano seguire script e comandi da remoto, oltre ad assicurarsi un accesso che permetta loro di installare altri malware.

Jupyter: malware nascosto in un file .zip, ruba password e dati di navigazione

L'installer di Jupyter viene occultato in un file compresso .zip, utilizzando icone e nomi di file che inducono l'utente ad aprirlo senza troppo pensarci. Quando il programma viene eseguito, inizialmente lancia l'installazione di alcuni strumenti legittimi per cercare di occultare il vero scopo dell'operazione, e cioè scaricare in background i componenti per l'esecuzione di un programma di installazione dannoso in cartelle temporanee.

Una volta che l'installazione di Jupyter è completa, il malware sottrae informazioni come nomi utente, password, completamenti automatici, cronologia di navigazione e cookie e il "bottino" viene inviato ad un server command and control. L'analisi di Morphisec mostra che l'autore del malware, chiunque esso sia, ha fatto in modo tale che Jupyter modifica costantemente il codice, anche per raccogliere ulteriori informazioni, così da essere più difficilmente rilevabile.

Attualmente non è chiaro quale possa essere la destinazione d'uso esatta per le informazioni rubate, ma è verosimile immaginare che possano essere impiegate sia per ottenere ulteriori punti d'accesso alle reti, e sottrarre dati potenzialmente più delicati e di valore, sia vendute a terzi interessati allo stesso scopo.

Secondo quanto affermato dai ricercatori Morphisec, Jupyter avrebbe origini russe: il server command and control sarebbe infatti dislocato in Russia, mentre una ricerca delle immagini del pianeta Giove inserite nel pannello di amministrazione del malware riconduce ad un forum in lingua russa. Infine il nome Jupyter fa pensare ad un errore di ortografia nella trascrizione del nome del pianeta.

Molti dei server command and control risulterebbero inattivi, ma il pannello di amministrazione è ancora funzionante il che suggerisce che Jupyter potrebbe essere semplicemente in uno stato "dormiente" e le campagne di infezione non siano in realtà ancora terminate.

6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
\_Davide_/19 Novembre 2020, 00:40 #1
Non è ben chiaro come un file con questi privilegi possa essere eseguito su PC che dovrebbero avere l'User Account Control attivo e richiedere quindi la password di amministratore prima di installare componenti.
lammoth19 Novembre 2020, 09:08 #2
Credo che in questo caso l'UAC non possa farci nulla. I browser salvano cookie, password, cronologia, ecc in cartelle e database SQLite all'interno del profilo utente. Quindi qualunque processo eseguito dallo stesso utente ha accesso diretto a queste informazioni. Per le password credo ci sia un blando livello di crittografia, ma siccome Chrome non ti chiede nessuna "master password" per usare le credenziali salvate, vuol dire che non sono protette come in un password-manager.
lammoth19 Novembre 2020, 09:13 #3
Poi è anche vero che l'utente medio clicka "YES" su quasi tutti i popup che vede. Quindi il malware per installare componenti più "avanzati" può richiedere l'elevazione di powershell.exe che, essendo un eseguibile di MS, è certificato, quindi niente schermata gialla di warning...
\_Davide_/19 Novembre 2020, 19:40 #4
Originariamente inviato da: lammoth
Credo che in questo caso l'UAC non possa farci nulla.


Nell'articolo dicono che avvia una installazione, e se è una installazione l'UAC dovrebbe bloccarla, o mi sbaglio io? (Mi capita di lavorare su domini ma non sono sistemista).

Originariamente inviato da: lammoth
Poi è anche vero che l'utente medio clicka "YES" su quasi tutti i popup che vede. Quindi il malware per installare componenti più "avanzati" può richiedere l'elevazione di powershell.exe che, essendo un eseguibile di MS, è certificato, quindi niente schermata gialla di warning...


Quindi riuscirebbe a sfruttare un prompt con i semplici privilegi di utente standard? Bella rogna in tal senso...
lammoth21 Novembre 2020, 19:54 #5
Ci sono molti SW (sempre di più che si installano nel profilo utente, invece che nella cartella dei programmi "classica". Per installarsi li non servono i privilegi di admin, quindi l'UAC non si attiva.

In questo modo hanno privilegi limitati, per avere tutti i privilegi devono comunque attivare l'UAC e l'utente deve pigiare "YES". Però se lo fanno lanciando uno script con PowerShell, il popup di UAC è bianco, non giallo e l'utente medio al 90% clicca "YES".
\_Davide_/21 Novembre 2020, 20:43 #6
Originariamente inviato da: lammoth
In questo modo hanno privilegi limitati, per avere tutti i privilegi devono comunque attivare l'UAC e l'utente deve pigiare "YES". Però se lo fanno lanciando uno script con PowerShell, il popup di UAC è bianco, non giallo e l'utente medio al 90% clicca "YES".


L'utente medio aziendale, però, "Sì" non lo può cliccare.

Resta il fatto che le password di Chrome te la dovrebbe riuscire a fregare comunque

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^