Malware Jupyter to najnowszy trojan i info stealer w jednym, posiadający dodatkowo pełną funkcjonalność backdoor’a. Według specjalistów z firmy Morphisec, przestępcy wystartowali z kampanią w maju 2020 r. Od tamtej pory pojawiło się kilka wariantów tego oprogramowania – najnowszy jest najgroźniejszy. Kampania nadal trwa, tak więc uważajcie.
1. Nowo odkryty malware Jupyter niezauważenie wykrada loginy i hasła, szykując drogę większym zagrożeniom
Jupyter to infostealer atakujący popularne przeglądarki internetowe – oparte na Chromium, Firefox i oczywiście Chrome. Trojan w dużej mierze atakuje głównie biznes i uczelnie wyższe. Celem są dane uwierzytelniające userów. Przeglądarka drogą do większych sekretów? Oczywiście. Jeśli przestępcy są tylko w stanie – tworzą w podatnym systemie backdoor’a. Tak na wszelki wypadek.
Utworzony w systemie backdoor pozwala na uruchomienie skryptów PowerShell, wydawanie komend a także pobieranie dodatkowych komponentów ataku, takie jak pliki .exe innych malware. Cyberprzestępcy liczą na to, że uda się im zdobyć dodatkowe dostępy m.in. do sieci, by w dalszych krokach wykraść naprawdę cenne i wrażliwe dane. Mogą również sprzedać dane uwierzytelniające oraz dostęp do całej infrastruktury innej grupie przestępczej.
Plik instalacyjny Jupyter podszywa się pod .zip, jest do tego opatrzony faviconem Microsoft Word. Przestępcy nadają mu też nazwę, która ma skłonić użytkownika do szybkiego otwarcia archiwum. Czyli, stare i dobre metody znane m.in. z phishingu.
W momencie, kiedy instalator zostanie uruchomiony, w tle instalują się legalne narzędzia – jak widać przestępcy starają się tuszować swoje prawdziwe intencje maksymalnie długo. Po zakończeniu instalacji Jupyter kradnie informacje, w tym nazwy użytkowników, hasła, dane autouzupełniania, historię przeglądarki i pliki cookie. Finalnie trafiają one na serwery C&C.
Ciekawostka: analiza oprogramowania wykazała, że ktokolwiek go stworzył, nieustannie pracuje nad ulepszeniem kodu, tak by być w stanie wykradać coraz więcej informacji, jednocześnie utrudniając wykrycie samego procesu wykradania przez ofiary.
Jupiter, a nie Jupyter… Grafika z panelu administracyjnego malware przedstawiająca planetę Jupiter pochodzi z rosyjskojęzycznego forum. Nazwa pliku zawiera literówkę, prawdopodobnie jest to efekt błędnego przekładu z rosyjskiego na język angielski.
2. Zaatakował cię ransomware Egregor? Przygotuj się na zasyp wydrukami z informacją, że padłeś ofiarą hackerów – raczej nie utrzymasz tego w tajemnicy…
Wiele firm ukrywa przed opinią publiczną, fakt że padły ofiarą ataku ransomware – w szczególności przed swoimi pracownikami. Z oczywistych względów, boją się że informacja rozniesie się na zewnątrz. W tym wypadku mają jednak dodatkowo utrudnione zadanie, ponieważ operatorzy Egregor w nowym ataku przejmują kontrolę nad wszystkimi drukarkami w firmie. W jakim celu? Po to by zasypać ofiarę wydrukami z żądaniem okupu… Aż do ostatniej kropli tuszu lub do wyczerpania tonera. Jak kto woli.
Zagrożenie
Egregor należy do rodziny malware Sekhmet, która jest aktywna od połowy września 2020 r. Program dysponuje podobnymi funkcjami co ransomware Clop.
Stosuje wiele technik dzięki którym wymyka się narzędziom do analizy – w tym zaciemnianie kodu i pakowane payloads w archiwa. Payload korzysta również z rozwiązań utrudniających debuggowanie jego kodu oraz licznych technik ukrywania obecności. Wykorzystuje do tego m.in. API Windows. Dane payloads mogą zostać odszyfrowane tylko za pomocą właściwych argumentów command line. Jeśli nie zna się koniecznych parametrów, nie będzie się w stanie przeanalizować go manualnie lub wykorzystując do tego sandbox.
Wracając do tematu newsa – rozszalałych drukarek w rękach przestępców. Mieliśmy okazję zaobserwować to zjawisko w akcji. Jedną z ostatnich ofiar przestępców był gigant handlu detalicznego – firma Cencosud.
El #ransomware que le pegó a Cencosud es #Egregor. La ransom note empezó a salir en las impresoras de varios locales de Argentina y Chile pic.twitter.com/k1Ps4IDUyq
— Irlenys (@Irlenys) November 15, 2020
Wydruki są żądaniem okupu, które można znaleźć na przejętych urządzeniach. Wszystko wskazuje na to, że za tę operację nie odpowiada plik .exe ransomware. Specjaliści są raczej zdania, że w końcowej fazie ataku przestępcy przesyłają skrypt, który to umożliwia. Są to tylko podejrzenia, bo na ten moment nie udało się znaleźć na to potwierdzenia.
VoltPillager, czyli jak za 30 dolarów włamać się do Intel SGX
Grupa sześciu naukowców z Uniwersytetu w Birmingham opracowała nową technikę ataku, nazwaną VoltPillager, która może złamać poufność i integralność enklaw Intel Software Guard Extensions (SGX), kontrolując napięcie rdzenia procesora.
Atak wykorzystuje niedrogie narzędzie (możliwe do zbudowania już za 30 dolarów), które służy do wprowadzania pakietów Serial Voltage Identification (SVID) na magistralę Serial Voltage Identification między procesorem a regulatorem napięcia na płycie głównej.
Wstrzyknięte pakiety pozwoliły naukowcom w pełni kontrolować napięcie rdzenia procesora i wykonywać ataki typu fault-injection.
Naukowcy odkryli, że na standardowej płycie głównej znajduje się oddzielny układ regulatora napięcia (VR), który generuje i kontroluje napięcie procesora. Eksperci opracowali narzędzie VoltPillager do łączenia się z interfejsem chipa VR, który nie jest chroniony, co w efekcie pozwala na kontrolowanie napięcia.
Eksperci byli w stanie przeprowadzić ataki polegające na wstrzykiwaniu błędów, które naruszają poufność i integralność enklaw Intel SGX. Zaprezentowali również proof-of-concept ataków przeciwko algorytmom kryptograficznym działającym wewnątrz SGX i prowadzącym do odzyskiwania klucza.
W grudniu rok temu pisaliśmy o luce Plundervolt (CVE-2019-11157), która umożliwiała wydobywanie poufnych danych z pamięci Intel SGX, w tym kluczy szyfrowania RSA również za pomocą manipulacji napięciem procesorów. Wydana łatka nie chroni jednak urządzeń przed atakiem VoltPillagerponieważ dotyczy on interfejsu sprzętowego, a nie programowego.
Uwaga – card-skimming malware Grelos na wolności
Specjaliści z RiskIQ, trafili na nową gałąź złośliwego oprogramowania typu card-skimming.Grelos, bo o nim mowa, to jeden z wariantów popularnego Magecart.
Ten szczep wygląda na przeróbkę oryginalnego kodu rodem z lat 2015-16, zawierającego moduły loader i skimmer, z których oba zostały pięciokrotnie zencodowane w base64 w celu utrudnienia wykrycia.
Zagrożenie zostało zauważone w wyniku wycieku danych amerykańskiego operatora mobilnego Boom! na początku tego roku. Grelos szybko został powiązany z ekipą hakerską Fullz House, która łączy umiejętności dwóch gangów specjalizujących się w phishingu i skimmingu.
Grelos powiązany z Magecart z 2018 r. działa w podobny sposób: w istocie jest to skimmer używany do kradzieży danych kart kredytowych klientów sklepów internetowych.
Różne odmiany skimmerów związanych z Grelos wykorzystywały tę samą infrastrukturę, rekordy WHOIS, phishing lub malware. Ten wydaje się być powiązany z najstarszymi znanymi operatorami Magecart, zidentyfikowanymi jako Grupy 1 i 2.
Magecart to nieodłączny problem branży e-commerce. Występuje ponieważ firmy nie dbają o to, w jakich miejscach umieszczają Javascript na stronie. Problem ten dotyczy nie tylko małych sklepów, ale i wielkich marek, co pokazały nam przykłady British Airways czy Ticketmaster.
Szacuje się, że oprogramowanie obsługiwane jest przez co najmniej dwanaście różnych grup przestępczych.