Una campagna di malware trojan appena scoperta sta prendendo di mira le aziende e l’istruzione superiore in quello che sembra essere uno sforzo per rubare nomi utente, password e altre informazioni private, oltre a creare una backdoor persistente sui sistemi compromessi.
L’infostealer di Jupyter è stato descritto in dettaglio dalla società di sicurezza informatica Morphisec che l’ha scoperto sulla rete di un istituto di istruzione superiore non noto negli Stati Uniti. Si pensa che il trojan sia attivo da maggio di quest’anno.
L’attacco prende di mira principalmente i dati del browser Chromium, Firefox e Chrome, ma ha anche funzionalità aggiuntive per l’apertura di una backdoor sui sistemi compromessi, consentendo agli aggressori di eseguire script e comandi di PowerShell, nonché la possibilità di scaricare ed eseguire malware aggiuntivo.
Il programma di installazione di Jupyter è mascherato in un file zippato, spesso utilizzando icone di Microsoft Word e nomi di file che sembrano dover essere aperti con urgenza, relativi a documenti importanti, dettagli di viaggio o un aumento di stipendio.
Se il programma di installazione viene eseguito, installerà strumenti legittimi nel tentativo di nascondere il vero scopo dell’installazione: scaricare ed eseguire un programma di installazione dannoso in cartelle temporanee in background.
Una volta completamente installato sul sistema, Jupyter ruba informazioni inclusi nomi utente, password, completamenti automatici, cronologia di navigazione e cookie e li invia a un server di comando e controllo. L’analisi del malware ha mostrato che chiunque lo abbia creato modifica costantemente il codice per raccogliere più informazioni, rendendo anche più difficile il rilevamento per le vittime.
Non è chiaro quale sia il motivo esatto del furto delle informazioni, ma i criminali informatici potrebbero utilizzarlo per ottenere ulteriore accesso alle reti per ulteriori attacchi – e potenzialmente rubare dati altamente sensibili – oppure potrebbero vendere credenziali di accesso e accesso backdoor ai sistemi a altri criminali che li sfrutteranno in futuro.
I ricercatori ritengono che Jupyter provenga dalla Russia. Non solo l’analisi del malware ha rivelato che si collegava ai server di comando e controllo in Russia, ma la ricerca inversa di immagini del pianeta Giove nel pannello di amministrazione di Infostealer ha rivelato che l’originale proveniva da un forum in lingua russa. Questa immagine è anche scritta Jupyter, probabilmente un errore di ortografia dal russo all’inglese del nome del pianeta.
Sebbene molti dei server di comando siano ora inattivi, il pannello di amministrazione è ancora attivo, suggerendo che le campagne di Jupyter potrebbero non essere ancora terminate.