Malware Jupyter ขโมยข้อมูล Browser โดยใช้ Backdoor

นักวิจัยจากบริษัทรักษาความปลอดภัยไซเบอร์ Morphisec พบพฤติกรรมของ attacker kit ที่บางส่วนมีการโจมตีมากกว่า 9 ครั้งในหนึ่งเดือน โดย malware ตัวนี้ใช้ชื่อว่า Jupyter เวอร์ชันล่าสุดถูกสร้างขึ้นในช่วงต้นเดือนพฤศจิกายนที่ผ่านมา ซึ่งสามารถหลบเลี่ยงการตรวจจับและขโมยข้อมูลจากระบบที่ถูกบุกรุก

Jupyter ถูกออกแบบโดยมีพื้นฐานจาก .NET เน้นไปที่การขโมยข้อมูลจาก Chromium, Mozilla Firefox และ Google Chrome เช่น cookies, credentials, certificates, autocomplete info เป็นต้น
โดยการโจมตีเริ่มต้นจากการดาวน์โหลดไฟล์ที่ติดตั้ง malware มาพร้อมกับโปรแกรมที่ถูกกฎหมายอื่น ๆ ในรูป Zip ไฟล์ และจะใช้เทคนิคแฝงตัวเข้าไปใน memory หลังจากนั้นเริ่มการทำงานของ .NET โดยจะติดต่อไปยัง C2 server และดาวน์โหลด executing malware, PowerShell script และ command อื่นๆผ่านทาง backdoor ที่ malware สร้างขึ้น ซึ่งจากการตรวจสอบของ Morphisec พบว่าบางไฟล์ไม่สามารถตรวจพบจาก Virus Total ในช่วงหกเดือนที่ผ่านมา

จากการสังเกตของ Morphisec พบว่าไฟล์ที่ติดตั้ง malware มักจะมาในรูปแบบ Microsoft Word และใช้ชื่อดังนี้

• The-Electoral-Process-Worksheet-Key.exe
• Mathematical-Concepts-Precalculus-With-Applications-Solutions.exe
• Excel-Pay-Increase-Spreadsheet-Tutotial-Bennett.exe
• Sample-Letter-For-Emergency-Travel-Document

นอกจากนั้น C2 server มีปลายทางอยู่ที่ประเทศรัสเซีย จึงอาจเป็นเหตุให้ไม่สามารถตรวจพบได้

ที่มา: https://www.bleepingcomputer.com/news/security/new-jupyter-malware-steals-browser-data-opens-backdoor/