Malware Jupyter, roba datos del navegador y abre una puerta trasera

23 Noviembre 2020
Alto

Los piratas informáticos de habla rusa han estado utilizando un nuevo malware para robar información de sus víctimas. Llamada Jupyter, la amenaza ha mantenido un perfil bajo y se ha beneficiado de un ciclo de desarrollo rápido.

Malware Jupyter

Jupyter es un malware de tipo Infostealer, es decir, un troyano que está diseñado para recopilar y exfiltrar información privada y confidencial de un sistema objetivo. La versión más reciente se creó a principios de noviembre pero no incluye cambios significativos. Sin embargo, la modificación constante del código le permite evadir la detección y permite a Jupyter recopilar más datos de los sistemas comprometidos.

Jupyter está basado en .NET y se enfoca en robar datos de los navegadores web Chromium, Mozilla Firefox y Google Chrome: cookies, credenciales, certificados e información de autocompletar.

Cadena de ataque

  • La entrega del ladrón comienza con la descarga de un instalador (ejecutable Inno Setup) en un archivo ZIP que se hace pasar por software legítimo.
  • El instalador aprovecha la técnica de vaciado de procesos para inyectar en la memoria de un proceso un cargador .NET que actúa como cliente para el servidor de comando y control.
  • El cliente luego descarga la siguiente etapa, un comando de PowerShell que ejecuta el módulo .NET de Jupyter en memoria.
  • En una versión posterior del instalador, los desarrolladores cambiaron de un proceso vacío a un comando de PowerShell para ejecutarse en la memoria.
  • Todas estas capacidades (el cliente C2, descarga y ejecución de malware, scripts y comandos de PowerShell y la técnica de vaciado de procesos) habilitan las funciones de puerta trasera extendidas.

Señuelos 

Según observó Morphisec, los señuelos iniciales se hacen pasar por documentos de Microsoft Word y los más comunes son:

  • The-Electoral-Process-Worksheet-Key.exe
  • Conceptos-matemáticos-Precálculo-con-Aplicaciones-Soluciones.exe
  • Excel-Pay-Increase-Spreadsheet-Turotial-Bennett.exe
  • Muestra-carta-para-documento-de-viaje-de-emergencia

Principales características

Investigadores de Morphisec describieron a Jupyter como un potente ladron de información que se dirige a navegadores como Chromiun, Firefox y Chrome para obtener datos, específicamente, de credenciales de inicio de sesión de los usuarios.

Con esta información, los cibercriminales pueden tener acceso a:

  • Cuentas corrientes
  • Tarjetas de crédito
  • Tiendas online donde se hayan efectuado transacciones
  • Correo electrónico y redes sociales de las víctimas.

Además de recopilar datos, su código está diseñado para dejar puertas traseras abiertas en los sistemas que infecta, permitiéndoles así,  instalar otros malwares.

Jupyter tiene capacidades de:

  • Descargar y ejecutar otro malware
  • Posee un C&C dedicado
  • Ejecuta scripts y comandos PowerShell
  • Vaciar shellcode en aplicaciones legítimas de configuración de Windows

Los infostealers suelen ser cargas útiles ligeras y sigilosas que no tienen capacidades de persistencia o propagación (entrada y salida). Este tipo de troyano es particularmente difícil de detectar ya que deja una huella extremadamente pequeña.

Panorama

La industria del malware es un negocio tan lucrativo que los grupos organizados de cibercriminales utilizan las mismas estrategias de mantenimiento que las grandes empresas de software. Al igual que todas las empresas legítimas van liberando actualizaciones de software para actualizar los sistemas operativos o las apps, los piratas informáticos que han desarrollado Jupyter también van liberando las suyas, lo que se traduce en agregar nuevos elementos que lo mantienen bajo el radar.

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
  • Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
  • Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
  • No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
  • No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #Malware #Jupyter #RobaDatos #PuertaTraseraAbierta


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.