Une version mise à jour d’un malware voleur d’informations connu sous le nom de Jupyter a refait surface avec des « changements simples mais efficaces » qui visent à établir furtivement un pied persistant sur les systèmes compromis.
« L’équipe a découvert de nouvelles vagues d’attaques Jupyter Infostealer qui exploitent les modifications de commandes PowerShell et les signatures de clés privées pour tenter de faire passer le logiciel malveillant pour un fichier légitimement signé », ont déclaré les chercheurs de VMware Carbon Black. dit dans un rapport partagé avec The Hacker News.
Jupyter Infostealer, également connu sous les noms de Polazert, SolarMarker et Yellow Cockatoo, a l’habitude d’exploiter des tactiques manipulées d’optimisation des moteurs de recherche (SEO) et de publicité malveillante comme vecteur d’accès initial pour inciter les utilisateurs à la recherche de logiciels populaires à les télécharger à partir de sites Web douteux.
Il est doté de capacités permettant de collecter des informations d’identification et d’établir une communication de commande et de contrôle (C2) cryptée pour exfiltrer des données et exécuter des commandes arbitraires.
Le dernier ensemble d’artefacts utilise divers certificats pour signer les logiciels malveillants afin de leur conférer un vernis de légitimité, uniquement pour que les faux installateurs activent la chaîne d’infection lors du lancement.
Les installateurs sont conçus pour invoquer une charge utile intermédiaire qui, à son tour, utilise PowerShell pour se connecter à un serveur distant et finalement décoder et lancer le logiciel malveillant voleur.
Cette évolution intervient alors que les malwares voleurs proposés à la vente sur le marché clandestin de la cybercriminalité continuent d’évoluer avec de nouvelles tactiques et techniques, réduisant ainsi les barrières à l’entrée pour les acteurs moins qualifiés.
Cela inclut une mise à jour de Voleur de Lummaqui intègre désormais un chargeur et la possibilité de générer aléatoirement une version pour une obfuscation améliorée.
« Cela fait passer le malware d’un type de voleur à un malware plus sournois capable de lancer des attaques de deuxième étape sur ses victimes », VMware dit. « Le chargeur offre à l’acteur malveillant un moyen de faire évoluer son attaque du vol de données jusqu’à l’infection de ses victimes avec un ransomware. »
Une autre famille de logiciels malveillants voleurs qui a reçu des améliorations constantes est Mystic Stealer, qui a également ajouté une fonctionnalité de chargement dans les versions récentes pour compléter ses capacités de vol d’informations.
« Le code continue d’évoluer et d’étendre les capacités de vol de données et la communication réseau a été mise à jour d’un protocole binaire personnalisé basé sur TCP à un protocole basé sur HTTP », Zscaler dit dans un rapport à la fin du mois dernier.
« Les nouvelles modifications ont conduit à une popularité croissante auprès des acteurs criminels qui exploitent sa fonctionnalité de chargement pour distribuer des familles de logiciels malveillants supplémentaires, notamment RedLine, DarkGate et GCleaner. »
La nature en constante évolution de ces logiciels malveillants est encore illustrée par l’émergence de voleurs et de chevaux de Troie d’accès à distance tels que Akira Voleur et RAT du millénairequi sont dotés de diverses fonctionnalités pour faciliter le vol de données.
La divulgation intervient également alors que des chargeurs de logiciels malveillants tels que PrivateLoader et Amadey ont été observés en train d’infecter des milliers d’appareils avec un botnet proxy baptisé Socks5Systemz, qui existe depuis 2016.
La société de cybersécurité Bitsight, qui détails révélés du service la semaine dernière, a déclaré avoir identifié au moins 53 serveurs liés au botnet répartis en France, en Bulgarie, aux Pays-Bas et en Suède.
Le but ultime de la campagne est de transformer les machines infectées en proxys capables de transmettre du trafic à d’autres acteurs, légitimes ou non, afin de renforcer l’anonymat. On soupçonne que les auteurs de la menace sont d’origine russe, étant donné l’absence d’infections dans le pays.
« Le service proxy permet aux clients de choisir un abonnement allant de 1 USD à 4 000 USD, payable intégralement en crypto-monnaie », a déclaré Bitsight. « Sur la base d’une analyse de télémétrie du réseau, on estime que ce botnet compte environ 10 000 systèmes infectés dont les victimes sont réparties dans le monde entier. »