È stata identificata una nuova campagna di diffusione del malware Jupyter, l’infostealer in grado di rubare dati e informazioni riservate principalmente dai browser Chromium, Firefox e Chrome utilizzando anche caratteristiche funzionali extra e peculiari delle backdoor.
Attivo già dal 2020, Jupyter ha mantenuto alta la capacità di eludere le soluzioni di sicurezza, tanto che la nuova variante del malware ha attirato l’attenzione dei ricercatori di sicurezza di Morphisec proprio perché altamente elusiva e mirata contro diversi bersagli di alto livello.
L’indagine ancora in corso sulla portata dell’impatto della nuova minaccia mostrerebbe secondo Morphisec “come gli attori delle minacce continuano a sviluppare i loro attacchi per diventare più efficienti ed evasivi”.
Indice degli argomenti
Il flusso di attacco del nuovo infostealer Jupyter
Mentre le evidenze passate dimostravano che gli attacchi precedenti incorporavano binari legittimi di software come i ben noti Docx2Rtf ed Expert PDF, l’attuale catena di distribuzione, oggetto d’attenzione, utilizzerebbe una diversa applicazione PDF.
Secondo la ricostruzione del flusso di attacco del nuovo infostealer Jupyter, l’infezione inizierebbe con l’esecuzione dell’installer MSI offuscata utilizzando una procedura guidata di creazione di pacchetti di applicazioni “all-in-one” di terze parti chiamata Advanced Installer (esattamente la versione 18.6.1 build 2c9a75c6).
Come per le precedenti varianti esaminate, la dimensione dei file .MSI costantemente superiore ai 100 MB consentirebbe al carico utile di contrastare gli scanner degli strumenti di protezioni.
Ecco un elenco di nomi per il payload MSI riscontrati secondo una ben precisa convenzione per la quale ciascun nome inizia con una lettera maiuscola, gli spazi tra le parole sono sostituiti dal simbolo “-” e gli oggetti sono ispirati a probabili documenti:
- Metlife-Disability-Waiver-Of-Premium-Benefit-Rider.msi
- Medical-Engagement-Scale-Questionnaire.msi
- Due-Diligence-Checklist-For-Oil-And-Gas-Properties.msi
- Non-Renewal-Of-Lease-Letter-To-Landlord-From-Tenant.msi
- Fedex-Tracking-By-Shipper-Receipt.msi
- Christian-Doctrine-Clauses-List.msi
- Omnicell-Cabinet-User-Manual.msi
- Wells-Fargo-Subpoena-Processing-Department-Phoenix-Az.msi
- Bulgarian Power Burst Training pdf.msiapp.msi
Il secondo step della catena infettiva di Jupyter porterebbe all’esecuzione di un loader PowerShell incorporato in un binario legittimo realizzato tramite Nitro Pro 13 (una suite per PC, che consente di creare, modificare, proteggere e condividere documenti in formato PDF) di cui sono state osservate varianti firmate con certificati validi e appartenenti ad attività effettive, segno di una plausibile impersonificazione.
Questo loader molto simile ai precedenti già visti in azione, pur incorporando il payload, mantiene rilevazioni molto più bassi su VirusTotal.
Nella fase finale, il loader decodificherebbe, eseguendolo in memoria, un modulo .NET che funge da client in attesa di ricevere ulteriori comandi dai server di presidio C2 (37.120.237[.]251, 45.42.201[.]248).
Di seguito, una correlazione tra le 6 versioni interne dei payload DLL.NET osservati e i relativi rilevamenti su VirusTotal:
- SP-9, 08 settembre 2021, 1/57 rilevazioni dannose;
- SP-10, 08 settembre 2021, 2/57 rilevazioni dannose;
- SP-11, 10 settembre 2021, 0/57 rilevazioni dannose;
- SP-13, 13 settembre 2021, 0/57 rilevazioni dannose;
- SP-14, 21 settembre 2021, 0/57 rilevazioni dannose;
- SP-16, 21 settembre 2021, 0/57 rilevazioni dannose.
Conclusioni
Senza ombra di dubbio, poiché è molto probabile che questi attacchi evasivi continueranno in futuro, è chiaro come sia necessario un approccio diverso alla prevenzione delle minacce di questo genere, superando i limiti di rilevamento di ogni qualsivoglia sistema di sicurezza.
Pertanto, per difendersi da attacchi evasivi, è consigliabile adottare una prevenzione basata su modelli deterministici piuttosto che sui tradizionali metodi di rilevazione.
Ulteriori dettagli e gli IoC per l’identificazione del malware sono disponibili nel rapporto tecnico dei ricercatori Morphisec.
