Um recente malware infostealer foi documentado. Acredita-se que é operado por um grupo criminoso da Russia e exfiltra informações dos navegadores Firefox e Chrome.

Atualmente existem diferentes tipos de malware, e uma das famílias bem documentadas ao longo dos últimos anos são os infostealers, como o TroyStealer que foi disseminado em Portugal em meados de 2020.

Nos últimos dias investigadores da Morphisec identificaram um novo infostealer desenvolvido em .NET chamado de Jupyter e que tem como alvo navegadores de Internet como o Mozilla Firefox, Google Chrome e Chromium.

This is the first version seen in the wild of the infostealer stealing information (autocomplete, cookies, and passwords) only from Chrome browsers. This version added Firefox information stealing (cookies, logins, certificates, and form history). This version uses the same technique of copying the stolen information before accessing it to evade detection.

 

Tal como outros malwares desta natureza, o binário final (Jupyter) é disseminado via campanhas de phishing e malscam dentro de um ficheiro zip, que não é bloqueado por malware por nenhum motor de antivírus segundo dados do VirusTotal.

 

Após a execução do instalador, um cliente .NET C2 (Jupyter Loader) é injetado na memória. Este cliente tem um protocolo de comunicação bem definido, um modulo de updated para manter o cliente atualizado, e inclui ainda modulos de persistencia. Após ser instalado na dispositivo da vítima, o loader descarrega um novo estágio, um comando PowerShell que executa no módulo Jupyter.NET na memória.

 

 

Depois de executado diretamente na memória, o infostelar inicia o processo de recolha de detalhes da vítima, incluindo auto_complete data guarda nos web-browsers, cookies e palavras-passe.

 

Finalmente, todos os detalhes exfiltrados são enviados para o C2 disponível online.

 

Como forma de justificar a relação do malware com um grupo de criminosos russos, foi realizada uma procura pela imagem na Internet, e esta foi encontrada em diversos forums russos. Em segundo lugar, o nome “jupyter” parece ser um erro de tradução de russo para inglês.

 

YARA RULE

Yara:
rule Jupyter_Infostealer
{
 meta:
 description = “Rule to detect Jupyter Infostealer”
 author = “Morphisec labs
 strings:
 $uid = “\”hwid\”:” wide
 $version_loader1 = “DR/” wide
 $version_loader2 = “DN-DN/” wide
 $version_jupyter = “CS-DN/” wide
 condition:
 uint16(0) == 0x5A4D and $uid and 1 of ($version*)
}

 

Mais detalhes aqui: https://www.morphisec.com/hubfs/eBooks_and_Whitepapers/Jupyter%20Infostealer%20WEB.pdf

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *