Atualmente existem diferentes tipos de malware, e uma das famílias bem documentadas ao longo dos últimos anos são os infostealers, como o TroyStealer que foi disseminado em Portugal em meados de 2020.
Nos últimos dias investigadores da Morphisec identificaram um novo infostealer desenvolvido em .NET chamado de Jupyter e que tem como alvo navegadores de Internet como o Mozilla Firefox, Google Chrome e Chromium.
This is the first version seen in the wild of the infostealer stealing information (autocomplete, cookies, and passwords) only from Chrome browsers. This version added Firefox information stealing (cookies, logins, certificates, and form history). This version uses the same technique of copying the stolen information before accessing it to evade detection.
Tal como outros malwares desta natureza, o binário final (Jupyter) é disseminado via campanhas de phishing e malscam dentro de um ficheiro zip, que não é bloqueado por malware por nenhum motor de antivírus segundo dados do VirusTotal.
Após a execução do instalador, um cliente .NET C2 (Jupyter Loader) é injetado na memória. Este cliente tem um protocolo de comunicação bem definido, um modulo de updated para manter o cliente atualizado, e inclui ainda modulos de persistencia. Após ser instalado na dispositivo da vítima, o loader descarrega um novo estágio, um comando PowerShell que executa no módulo Jupyter.NET na memória.
Depois de executado diretamente na memória, o infostelar inicia o processo de recolha de detalhes da vítima, incluindo auto_complete data guarda nos web-browsers, cookies e palavras-passe.
Finalmente, todos os detalhes exfiltrados são enviados para o C2 disponível online.
Como forma de justificar a relação do malware com um grupo de criminosos russos, foi realizada uma procura pela imagem na Internet, e esta foi encontrada em diversos forums russos. Em segundo lugar, o nome “jupyter” parece ser um erro de tradução de russo para inglês.
YARA RULE
Yara:
rule Jupyter_Infostealer
{
meta:
description = “Rule to detect Jupyter Infostealer”
author = “Morphisec labs
strings:
$uid = “\”hwid\”:” wide
$version_loader1 = “DR/” wide
$version_loader2 = “DN-DN/” wide
$version_jupyter = “CS-DN/” wide
condition:
uint16(0) == 0x5A4D and $uid and 1 of ($version*)
}
Mais detalhes aqui: https://www.morphisec.com/hubfs/eBooks_and_Whitepapers/Jupyter%20Infostealer%20WEB.pdf
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.