DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Phát hiện phần mềm đánh cắp thông tin Jupyter lây lan qua tệp cài đặt định dạng MSI
Các nhà nghiên cứu an ninh mạng của Morphisec gần đây đã phát hiện ra một phiên bản mới của phần mềm độc hại đánh cắp thông tin Jupyter được phân phối thông qua tệp có phần mở rộng .msi có khả năng tránh sự phát hiện của các phần mềm diệt virus.
Phát hiện vào tháng 11 năm 2020, được sử dụng trong chiến dịch của một nhóm tin tặc nói tiếng Nga. Jupyter được viết dựa trên .NET nhằm mục đích ăn cắp thông tin từ nhiều ứng dụng như các thông tin được lưu trong trình duyệt dựa trên Chromium, FireFox, Chrome... Phần mềm độc hại này cũng cài đặt backdoor lên các hệ thống bị nhiễm.
Morphisec cho biết: "Jupyter chủ yếu nhắm mục tiêu vào dữ liệu trình duyệt Chromium, Firefox và Chrome. Tuy nhiên, trong việc tấn công vào mục tiêu, phần mềm độc hại cũng trang bị backdoor với đầy đủ các tính năng."
Backdoor này có nhiệm vụ:
Kẻ tấn công liên tục cập nhật phần mềm độc hại để tránh bị phát hiện và đồng thời bổ sung các khả năng đánh cắp thông tin mới, phiên bản gần đây nhất đã được tạo vào đầu tháng 11.
Quá trình lây nhiễm bắt đầu bằng việc tải xuống một tệp nén định dạng ZIP có chứa trình cài đặt Inno Setup được giả mạo là phần mềm hợp pháp (Docx2Rtf).
Ngày 8 tháng 9 năm 2021, các nhà nghiên cứu nhận thấy mẫu phần mềm độc hại này bắt đầu việc lây nhiễm bằng việc sử dụng tệp cài đặt hợp pháp của phần mềm Nitro Pro 13 để tránh sự phát hiện.
Mã độc vượt qua sự phát hiện của các phần mềm diệt virus bằng cách sử dụng tệp độc hại có phần mở rộng .MSI với kích thước lớn hơn 100MB, đồng thời sử dụng các kỹ thuật làm rối mã sử dụng công cụ đóng gói ứng dụng Advanced Installer.
Khi tệp .MSI được chạy, mã độc PowerShell chèn trong tệp cài đặt hợp pháp của phần mềm Nitro Pro 13 sẽ được thực thi.
Các nhà nghiên cứu cho biết: "Các mẫu phần mềm độc hại này dường như sử dụng chung một trình tải với khả năng né tránh sự phát hiện của tất cả các phần mềm diệt virus. Mặc dù có nhiều biến thể khác nhau, nhưng chúng đều sử dụng chung một đoạn mã nhất định."
Một biến thể gần đây được phát hiện được ký với một chứng chỉ hợp lệ được cấp cho một doanh nghiệp Ba Lan có tên ‘TACHOPARTS SP Z O O’, một biến thể khác được kí bởi chứng chỉ đã bị thu hồi tên là ‘OOO Sistema.’
Nhà nghiên cứu kết luận: "Sự phát triển của Jupyter chứng minh rằng kẻ tấn công luôn tìm ra phương pháp mới để né tránh sự phát hiện của các phần mềm diệt virus. Do đó, cần phải có một cách tiếp cận mới để ngăn chặn các mối đe dọa."
Phát hiện vào tháng 11 năm 2020, được sử dụng trong chiến dịch của một nhóm tin tặc nói tiếng Nga. Jupyter được viết dựa trên .NET nhằm mục đích ăn cắp thông tin từ nhiều ứng dụng như các thông tin được lưu trong trình duyệt dựa trên Chromium, FireFox, Chrome... Phần mềm độc hại này cũng cài đặt backdoor lên các hệ thống bị nhiễm.
Morphisec cho biết: "Jupyter chủ yếu nhắm mục tiêu vào dữ liệu trình duyệt Chromium, Firefox và Chrome. Tuy nhiên, trong việc tấn công vào mục tiêu, phần mềm độc hại cũng trang bị backdoor với đầy đủ các tính năng."
Backdoor này có nhiệm vụ:
- Đóng vai trò như một kênh liên lạc để nhận lệnh từ máy chủ C2
- Tải và thực thi phần mềm độc hại
- Thực thi các tập lệnh PowerShell và các lệnh khác
- Sử dụng kỹ thuật hollowing shellcode để chèn payload vào các ứng dụng cấu hình windows hợp pháp
Kẻ tấn công liên tục cập nhật phần mềm độc hại để tránh bị phát hiện và đồng thời bổ sung các khả năng đánh cắp thông tin mới, phiên bản gần đây nhất đã được tạo vào đầu tháng 11.
Quá trình lây nhiễm bắt đầu bằng việc tải xuống một tệp nén định dạng ZIP có chứa trình cài đặt Inno Setup được giả mạo là phần mềm hợp pháp (Docx2Rtf).
Ngày 8 tháng 9 năm 2021, các nhà nghiên cứu nhận thấy mẫu phần mềm độc hại này bắt đầu việc lây nhiễm bằng việc sử dụng tệp cài đặt hợp pháp của phần mềm Nitro Pro 13 để tránh sự phát hiện.
Mã độc vượt qua sự phát hiện của các phần mềm diệt virus bằng cách sử dụng tệp độc hại có phần mở rộng .MSI với kích thước lớn hơn 100MB, đồng thời sử dụng các kỹ thuật làm rối mã sử dụng công cụ đóng gói ứng dụng Advanced Installer.
Khi tệp .MSI được chạy, mã độc PowerShell chèn trong tệp cài đặt hợp pháp của phần mềm Nitro Pro 13 sẽ được thực thi.
Các nhà nghiên cứu cho biết: "Các mẫu phần mềm độc hại này dường như sử dụng chung một trình tải với khả năng né tránh sự phát hiện của tất cả các phần mềm diệt virus. Mặc dù có nhiều biến thể khác nhau, nhưng chúng đều sử dụng chung một đoạn mã nhất định."
Một biến thể gần đây được phát hiện được ký với một chứng chỉ hợp lệ được cấp cho một doanh nghiệp Ba Lan có tên ‘TACHOPARTS SP Z O O’, một biến thể khác được kí bởi chứng chỉ đã bị thu hồi tên là ‘OOO Sistema.’
Nhà nghiên cứu kết luận: "Sự phát triển của Jupyter chứng minh rằng kẻ tấn công luôn tìm ra phương pháp mới để né tránh sự phát hiện của các phần mềm diệt virus. Do đó, cần phải có một cách tiếp cận mới để ngăn chặn các mối đe dọa."
Theo: securityaffairs
Chỉnh sửa lần cuối bởi người điều hành: