La nuova catena di infezione indica che i criminali continuano a lavorare per migliorare l’efficacia dei loro attacchi.
I ricercatori di sicurezza hanno parlato dell’evoluzione di Jupyter, un ladro di informazioni scritto nel linguaggio di programmazione .NET e noto per attaccare organizzazioni esclusivamente mediche ed educative.
La nuova catena di infezione, scoperta dagli specialisti della società di sicurezza informatica Morphisec l’8 settembre 2021, non solo testimonia l’attività in corso del malware, ma dimostra anche “come i criminali informatici continuano a sviluppare i loro attacchi per renderli più efficaci e sfuggente.”
Documentato per la prima volta nel novembre 2020, il malware Jupyter (noto anche come Solarmarker) è stato presumibilmente creato da sviluppatori russi ed è progettato per rubare dati dai browser Firefox, Chrome e Chromium. Inoltre, il malware è una backdoor a tutti gli effetti ed è in grado di rubare dati e caricarli su un server remoto, caricare ed eseguire payload. Secondo Morphisec, nuove versioni di Jupyter hanno iniziato ad apparire da maggio 2020.
Nell’agosto 2021, gli esperti di Cisco Talos hanno attribuito gli attacchi a “un attaccante veramente altamente qualificato, principalmente volto a rubare credenziali e altri dati”. Nel febbraio di quest’anno, la società di sicurezza informatica CrowdStrike ha descritto il malware come impacchettato in un caricatore PowerShell a più stadi e pesantemente offuscato, che porta all’esecuzione di una backdoor su .NET.
Sebbene gli attacchi precedenti utilizzassero file legittimi di software noti come Docx2Rtf ed Expert PDF, la catena di infezioni scoperta di recente ha iniziato a utilizzare l’applicazione Nitro Pro PDF.
L’attacco inizia distribuendo un programma di installazione MSI di dimensioni superiori a 100 MB, consentendo agli aggressori di aggirare le soluzioni antivirus. Il programma di installazione è offuscato utilizzando il packer di applicazioni di installazione avanzata di terze parti.
Una volta avviato l’MSI, viene eseguito un downloader PowerShell incorporato in un file Nitro Pro 13 legittimo, le cui due versioni sono firmate con certificati digitali autentici di un’azienda reale in Polonia. Infine, il payloader decodifica ed esegue il modulo .NET Jupyter in memoria.