Güvenlik araştırmacıları, en az 2020’den beri Chrome, Edge ve Firefox tarayıcılarının kullanıcılarını hedef alan bir bilgi hırsızı olan Jupyter’in yeni ve gelişmiş bir versiyonunu içeren saldırılarda yakın zamanda bir artış tespit etti.
Sarı Kakadu, Solarmarker ve Polazert olarak da adlandırılan kötü amaçlı yazılım, makinelere arka kapı açabilir ve bilgisayar adı, kullanıcının yönetici ayrıcalıkları, çerezler, Web verileri, tarayıcı şifre yöneticisi bilgileri ve diğer hassas veriler dahil olmak üzere çeşitli kimlik bilgilerini toplayabilir. Kripto cüzdanlar ve uzaktan erişim uygulamaları için oturum açma bilgileri gibi kurban sistemleri.
Kalıcı Veri Çalma Siber Tehdidi
VMware’in Carbon Black yönetimindeki araştırmacılar yakın zamanda algılama ve yanıt (MDR) hizmetini yönetti yeni versiyonu gözlemledim PowerShell komut değişikliklerinden ve yasal görünümlü, dijital olarak imzalanmış yüklerden yararlanan kötü amaçlı yazılımların Ekim sonundan bu yana giderek artan sayıda sisteme bulaştığı görüldü.
VMware bu haftaki güvenlik blogunda, “Son Jupyter enfeksiyonları, kötü amaçlı yazılımlarını imzalamak için birden fazla sertifika kullanıyor ve bu da, kötü amaçlı dosyaya güven verilmesine ve kurbanın makinesine ilk erişimin sağlanmasına olanak tanıyor.” dedi. “Bu değişiklikler, [Jupyter’s] Kaçınma yetenekleri göze çarpmadan kalmasına izin veriyor.”
Morphisec Ve Böğürtlen Daha önce Jupyter’ı takip eden diğer iki tedarikçi, kötü amaçlı yazılımın tam teşekküllü bir arka kapı olarak çalışabildiğini tespit etti. Yeteneklerini, komuta ve kontrol (C2) iletişimleri için destek, diğer kötü amaçlı yazılımlar için bir damlatıcı ve yükleyici görevi görme, tespitten kaçınmak için kabuk kodunu boşaltma ve PowerShell komut dosyalarını ve komutlarını yürütme gibi özellikler olarak tanımladılar.
BlackBerry, Jupyter’in OpenVPN, Uzak Masaüstü Protokolü ve diğer uzaktan erişim uygulamalarına erişimin yanı sıra Ethereum Wallet, MyMonero Wallet ve Atomic Wallet gibi kripto cüzdanlarını da hedef aldığını gözlemlediğini bildirdi.
Kötü amaçlı yazılımın operatörleri, kötü amaçlı yazılımı dağıtmak için, arama motorunun kötü amaçlı web sitelerine yönlendirmeleri, rastgele indirmeler, kimlik avı ve SEO zehirlenmesi veya kötü amaçlı yazılım dağıtmak için arama motoru sonuçlarını kötü niyetli olarak manipüle etme dahil olmak üzere çeşitli teknikler kullandı.
Jupyter: Kötü Amaçlı Yazılım Tespitinden Kurtulmak
En son saldırılarda, Jupyter’ın arkasındaki tehdit aktörü, kötü amaçlı yazılımı dijital olarak imzalamak ve böylece kötü amaçlı yazılım tespit araçlarına meşru görünmesini sağlamak için geçerli sertifikalar kullanıyor. Dosyalar, kullanıcıları onları açmaya kandırmak için tasarlanmış ” gibi başlıklara sahip adlara sahiptir.Bir-işveren-kılavuzu-grup-sağlığı-devamı.exe” Ve “Bir-Word-Belgesi-Permanent.exe-Nasıl-Yapılır-Düzenlemeler“.
VMware araştırmacıları, kötü amaçlı yazılımın, kurbanın sistemine ulaştığı anda bilgi hırsızı yükünün şifresini çözmek ve onu belleğe yüklemek için C2 sunucusuna birden fazla ağ bağlantısı yaptığını gözlemledi.
VMware’in raporuna göre “Chrome, Edge ve Firefox tarayıcılarını hedefleyen Jupyter enfeksiyonları, saldırı zincirindeki ilk saldırı vektörü olan kötü amaçlı dosya indirmelerini teşvik etmek için SEO zehirlenmesini ve arama motoru yönlendirmelerini kullanıyor.” “Kötü amaçlı yazılım, hassas verileri sızdırmak için kullanılan kimlik bilgisi toplama ve şifreli C2 iletişim yeteneklerini gösterdi.”
Bilgi Hırsızlarında Sorunlu Bir Artış
Satıcıya göre Jupyter, VMware’in son yıllarda istemci ağlarında tespit ettiği en sık görülen 10 enfeksiyon arasında yer alıyor. Bu, diğerlerinin, COVID-19 salgını başladıktan sonra birçok kuruluşta uzaktan çalışmaya büyük ölçekli geçişin ardından bilgi hırsızlarının kullanımında keskin ve endişe verici bir artış olduğuna dair bildirdiği bilgilerle tutarlıdır.
Kızıl KanaryaÖrneğin, RedLine, Racoon ve Vidar gibi bilgi hırsızlarının 2022’de ilk 10 listesine birden çok kez girdiğini bildirdi. Kötü amaçlı yazılımlar çoğunlukla, kötü amaçlı reklamlar veya SEO manipülasyonu yoluyla meşru yazılım için sahte veya zehirlenmiş yükleyici dosyaları olarak geldi. Şirket, saldırganların kötü amaçlı yazılımı çoğunlukla uzaktaki çalışanlardan kurumsal ağlara ve sistemlere hızlı, kalıcı ve ayrıcalıklı erişim sağlayan kimlik bilgilerini toplamaya çalışmak için kullandığını tespit etti.
Red Canary araştırmacıları, “Hiçbir sektör, kötü amaçlı yazılımlara karşı bağışık değildir ve bu tür kötü amaçlı yazılımların yayılması genellikle reklam ve SEO manipülasyonu yoluyla fırsatçıdır” dedi.
Uptycs bildirdi benzer ve rahatsız edici bir artış bu yılın başlarında bilgi hırsızı dağıtımında. Şirketin izlediği veriler, bir saldırganın bilgi hırsızlığı yaptığı olayların sayısının 2023’ün ilk çeyreğinde geçen yılın aynı dönemine kıyasla iki kattan fazla arttığını gösterdi. Güvenlik sağlayıcısı, kullanıcı adlarını ve şifreleri, profiller ve otomatik doldurma bilgileri gibi tarayıcı bilgilerini, kredi kartı bilgilerini, kripto cüzdan bilgilerini ve sistem bilgilerini çalmak için kötü amaçlı yazılım kullanan tehdit aktörleri buldu. Uptycs’e göre Rhadamanthys gibi daha yeni bilgi hırsızları, özellikle çok faktörlü kimlik doğrulama uygulamalarından günlükleri çalabiliyor. Çalınan verileri içeren kayıtlar daha sonra yoğun talep gören suç forumlarında satılıyor.
Uptycs araştırmacıları, “Çalınan verilerin sızdırılması, diğer tehdit aktörleri için ilk erişim noktası olarak karanlık ağda kolayca satılabileceğinden, kuruluşlar veya bireyler üzerinde tehlikeli bir etkiye sahiptir” uyarısında bulundu.