{"id":3375,"date":"2020-11-23T08:42:12","date_gmt":"2020-11-23T07:42:12","guid":{"rendered":"https:\/\/xopero.com\/blog\/?p=3375"},"modified":"2024-12-11T17:41:09","modified_gmt":"2024-12-11T16:41:09","slug":"malware-jupyter-ransomware-egregor-voltpillager-wlamuje-sie-do-intel-sgx","status":"publish","type":"post","link":"https:\/\/xopero.com\/blog\/pl\/malware-jupyter-ransomware-egregor-voltpillager-wlamuje-sie-do-intel-sgx\/","title":{"rendered":"Malware Jupyter \/ Ransomware Egregor \/ VoltPillager w\u0142amuje si\u0119 do Intel SGX"},"content":{"rendered":"\n

Malware Jupyter to najnowszy trojan i info stealer w jednym, posiadaj\u0105cy dodatkowo pe\u0142n\u0105 funkcjonalno\u015b\u0107 backdoor\u2019a. Wed\u0142ug specjalist\u00f3w z firmy Morphisec, przest\u0119pcy wystartowali z kampani\u0105 w maju 2020 r. Od tamtej pory pojawi\u0142o si\u0119 kilka wariant\u00f3w tego oprogramowania \u2013 najnowszy jest najgro\u017aniejszy. Kampania nadal trwa, tak wi\u0119c uwa\u017cajcie.<\/p>\n\n\n\n\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

1. Nowo odkryty malware Jupyter niezauwa\u017cenie wykrada loginy i has\u0142a, szykuj\u0105c drog\u0119 wi\u0119kszym zagro\u017ceniom<\/strong><\/h2>\n\n\n

Jupyter to infostealer atakuj\u0105cy popularne przegl\u0105darki internetowe – oparte na Chromium, Firefox i oczywi\u015bcie Chrome. Trojan w du\u017cej mierze atakuje g\u0142\u00f3wnie biznes i uczelnie wy\u017csze. Celem s\u0105 dane uwierzytelniaj\u0105ce user\u00f3w. Przegl\u0105darka drog\u0105 do wi\u0119kszych sekret\u00f3w? Oczywi\u015bcie. Je\u015bli przest\u0119pcy s\u0105 tylko w stanie \u2013 tworz\u0105 w podatnym systemie backdoor\u2019a. Tak na wszelki wypadek.<\/p>\n\n\n\n

Utworzony w systemie backdoor pozwala na uruchomienie skrypt\u00f3w PowerShell, wydawanie komend a tak\u017ce pobieranie dodatkowych komponent\u00f3w ataku, takie jak pliki .exe innych malware. Cyberprzest\u0119pcy licz\u0105 na to, \u017ce uda si\u0119 im zdoby\u0107 dodatkowe dost\u0119py m.in. do sieci, by w dalszych krokach wykra\u015b\u0107 naprawd\u0119 cenne i wra\u017cliwe dane. Mog\u0105 r\u00f3wnie\u017c sprzeda\u0107 dane uwierzytelniaj\u0105ce oraz dost\u0119p do ca\u0142ej infrastruktury innej grupie przest\u0119pczej.<\/p>\n\n\n\n

Plik instalacyjny Jupyter podszywa si\u0119 pod .zip, jest do tego opatrzony faviconem Microsoft Word. Przest\u0119pcy nadaj\u0105 mu te\u017c nazw\u0119, kt\u00f3ra ma sk\u0142oni\u0107 u\u017cytkownika do szybkiego otwarcia archiwum. Czyli, stare i dobre metody znane m.in. z phishingu.<\/p>\n\n\n\n

W momencie, kiedy instalator zostanie uruchomiony, w tle instaluj\u0105 si\u0119 legalne narz\u0119dzia \u2013 jak wida\u0107 przest\u0119pcy staraj\u0105 si\u0119 tuszowa\u0107 swoje prawdziwe intencje maksymalnie d\u0142ugo. Po zako\u0144czeniu instalacji Jupyter kradnie informacje, w tym nazwy u\u017cytkownik\u00f3w, has\u0142a, dane autouzupe\u0142niania, histori\u0119 przegl\u0105darki i pliki cookie. Finalnie trafiaj\u0105 one na serwery C&C.<\/p>\n\n\n\n

Ciekawostka: analiza oprogramowania wykaza\u0142a, \u017ce ktokolwiek go stworzy\u0142, nieustannie pracuje nad ulepszeniem kodu, tak by by\u0107 w stanie wykrada\u0107 coraz wi\u0119cej informacji, jednocze\u015bnie utrudniaj\u0105c wykrycie samego procesu wykradania przez ofiary.<\/p>\n\n\n\n

Jupiter, a nie Jupyter… <\/strong> Grafika z panelu administracyjnego malware przedstawiaj\u0105ca planet\u0119 Jupiter pochodzi z rosyjskoj\u0119zycznego forum. Nazwa pliku zawiera liter\u00f3wk\u0119, prawdopodobnie jest to efekt b\u0142\u0119dnego przek\u0142adu z rosyjskiego na j\u0119zyk angielski.<\/p>\n\n\n\n

\u017br\u00f3d\u0142o<\/a><\/p>\n\n\n\n

\"\"<\/a><\/figure><\/div>\n\n\n\n
<\/div>\n\n\n\n<\/a>\n\n\n

2. Zaatakowa\u0142 ci\u0119 ransomware Egregor? Przygotuj si\u0119 na zasyp wydrukami z informacj\u0105, \u017ce pad\u0142e\u015b ofiar\u0105 hacker\u00f3w \u2013 raczej nie utrzymasz tego w tajemnicy\u2026<\/strong><\/h2>\n\n\n

Wiele firm ukrywa przed opini\u0105 publiczn\u0105, fakt \u017ce pad\u0142y ofiar\u0105 ataku ransomware \u2013 w szczeg\u00f3lno\u015bci przed swoimi pracownikami. Z oczywistych wzgl\u0119d\u00f3w, boj\u0105 si\u0119 \u017ce informacja rozniesie si\u0119 na zewn\u0105trz. W tym wypadku maj\u0105 jednak dodatkowo utrudnione zadanie, poniewa\u017c operatorzy Egregor w nowym ataku przejmuj\u0105 kontrol\u0119 nad wszystkimi drukarkami w firmie. W jakim celu? Po to by zasypa\u0107 ofiar\u0119 wydrukami z \u017c\u0105daniem okupu\u2026 A\u017c do ostatniej kropli tuszu lub do wyczerpania tonera. Jak kto woli.<\/p>\n\n\n\n

Zagro\u017cenie<\/strong><\/p>\n\n\n\n

Egregor nale\u017cy do rodziny malware Sekhmet, kt\u00f3ra jest aktywna od po\u0142owy wrze\u015bnia 2020 r. Program dysponuje podobnymi funkcjami co ransomware Clop<\/a>.\u00a0<\/p>\n\n\n\n

Stosuje wiele technik dzi\u0119ki kt\u00f3rym wymyka si\u0119 narz\u0119dziom do analizy – w tym zaciemnianie kodu i pakowane payloads w archiwa. Payload korzysta r\u00f3wnie\u017c z rozwi\u0105za\u0144 utrudniaj\u0105cych debuggowanie jego kodu oraz licznych technik ukrywania obecno\u015bci. Wykorzystuje do tego m.in. API Windows. Dane payloads mog\u0105 zosta\u0107 odszyfrowane tylko za pomoc\u0105 w\u0142a\u015bciwych argument\u00f3w command line. Je\u015bli nie zna si\u0119 koniecznych parametr\u00f3w, nie b\u0119dzie si\u0119 w stanie przeanalizowa\u0107 go manualnie lub wykorzystuj\u0105c do tego sandbox.<\/p>\n\n\n\n

Wracaj\u0105c do tematu newsa \u2013 rozszala\u0142ych drukarek w r\u0119kach przest\u0119pc\u00f3w. Mieli\u015bmy okazj\u0119 zaobserwowa\u0107 to zjawisko w akcji. Jedn\u0105 z ostatnich ofiar przest\u0119pc\u00f3w by\u0142 gigant handlu detalicznego \u2013 firma Cencosud.<\/p>\n\n\n\n

El #ransomware<\/a> que le peg\u00f3 a Cencosud es #Egregor<\/a>. La ransom note empez\u00f3 a salir en las impresoras de varios locales de Argentina y Chile pic.twitter.com\/k1Ps4IDUyq<\/a><\/p>\u2014 Irlenys (@Irlenys) November 15, 2020<\/a><\/blockquote>