Phát hiện phần mềm đánh cắp thông tin Jupyter lây lan qua tệp cài đặt định dạng MSI

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi DDos, 28/09/21, 02:09 PM.

  1. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 2,028
    Đã được thích: 487
    Điểm thành tích:
    83
    Các nhà nghiên cứu an ninh mạng của Morphisec gần đây đã phát hiện ra một phiên bản mới của phần mềm độc hại đánh cắp thông tin Jupyter được phân phối thông qua tệp có phần mở rộng .msi có khả năng tránh sự phát hiện của các phần mềm diệt virus.

    Jupyter.png

    Phát hiện vào tháng 11 năm 2020, được sử dụng trong chiến dịch của một nhóm tin tặc nói tiếng Nga. Jupyter được viết dựa trên .NET nhằm mục đích ăn cắp thông tin từ nhiều ứng dụng như các thông tin được lưu trong trình duyệt dựa trên Chromium, FireFox, Chrome... Phần mềm độc hại này cũng cài đặt backdoor lên các hệ thống bị nhiễm.

    Morphisec cho biết: "Jupyter chủ yếu nhắm mục tiêu vào dữ liệu trình duyệt Chromium, Firefox và Chrome. Tuy nhiên, trong việc tấn công vào mục tiêu, phần mềm độc hại cũng trang bị backdoor với đầy đủ các tính năng."

    Backdoor này có nhiệm vụ:
    • Đóng vai trò như một kênh liên lạc để nhận lệnh từ máy chủ C2
    • Tải và thực thi phần mềm độc hại
    • Thực thi các tập lệnh PowerShell và các lệnh khác
    • Sử dụng kỹ thuật hollowing shellcode để chèn payload vào các ứng dụng cấu hình windows hợp pháp
    Các chuyên gia đã phát hiện ra những manh mối về mẫu phần mềm độc hại này trong quá trình ứng cứu sự cố trong tháng 10. Tuy nhiên, theo dữ liệu điều tra số, phiên bản đầu tiên của Jupyter có thể được tin tặc phát triển từ tháng 5.

    Kẻ tấn công liên tục cập nhật phần mềm độc hại để tránh bị phát hiện và đồng thời bổ sung các khả năng đánh cắp thông tin mới, phiên bản gần đây nhất đã được tạo vào đầu tháng 11.

    Quá trình lây nhiễm bắt đầu bằng việc tải xuống một tệp nén định dạng ZIP có chứa trình cài đặt Inno Setup được giả mạo là phần mềm hợp pháp (Docx2Rtf).

    Ngày 8 tháng 9 năm 2021, các nhà nghiên cứu nhận thấy mẫu phần mềm độc hại này bắt đầu việc lây nhiễm bằng việc sử dụng tệp cài đặt hợp pháp của phần mềm Nitro Pro 13 để tránh sự phát hiện.

    Mã độc vượt qua sự phát hiện của các phần mềm diệt virus bằng cách sử dụng tệp độc hại có phần mở rộng .MSI với kích thước lớn hơn 100MB, đồng thời sử dụng các kỹ thuật làm rối mã sử dụng công cụ đóng gói ứng dụng Advanced Installer.

    Khi tệp .MSI được chạy, mã độc PowerShell chèn trong tệp cài đặt hợp pháp của phần mềm Nitro Pro 13 sẽ được thực thi.

    Các nhà nghiên cứu cho biết: "Các mẫu phần mềm độc hại này dường như sử dụng chung một trình tải với khả năng né tránh sự phát hiện của tất cả các phần mềm diệt virus. Mặc dù có nhiều biến thể khác nhau, nhưng chúng đều sử dụng chung một đoạn mã nhất định."

    Một biến thể gần đây được phát hiện được ký với một chứng chỉ hợp lệ được cấp cho một doanh nghiệp Ba Lan có tên ‘TACHOPARTS SP Z O O’, một biến thể khác được kí bởi chứng chỉ đã bị thu hồi tên là ‘OOO Sistema.’

    Nhà nghiên cứu kết luận: "Sự phát triển của Jupyter chứng minh rằng kẻ tấn công luôn tìm ra phương pháp mới để né tránh sự phát hiện của các phần mềm diệt virus. Do đó, cần phải có một cách tiếp cận mới để ngăn chặn các mối đe dọa."
     
    Last edited by a moderator: 28/09/21, 06:09 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. DDos
  2. Marcus1337
  3. ToanDV
  4. DDos
  5. Sugi_b3o