Jupyter è un Infostealer di probabile provenienza russa progettato con lo scopo di rubare alle vittime le loro informazioni personali e sensibili. La funzione primaria è quella di prelevare le informazioni memorizzate all’interno di browser come Chromium, Firefox e Chrome; include anche funzionalità di backdoor, la quale permette ai criminali di eseguire codice Powershell e installare altri malware sulle macchine colpite. E’ noto per essere un malware packed a più fasi, fortemente offuscato, che attraverso del codice PowerShell porta all’esecuzione di una backdoor .NET.

Di recente è stata individuata una nuova versione di questo Infostealer (link). La catena di compromissione ha inizio attraverso un file MSI di dimensione superiore ai 100MB. Tale dimensione permette di non essere rilevato dagli antivirus online. Il file sembrerebbe essere stato creato utilizzando una versione trial del software Advanced Installer, il quale permette di creare dei “pacchetti” di applicazioni All-in-one.

Informazioni generali:

Fig. 1 – Informazioni sul Sample

‎L’esecuzione del payload MSI porta all’esecuzione del codice PowerShell incorporato all’interno di un binario legittimo di Nitro Pro 13. Nella fase finale dell’esecuzione del sample viene decodificato ed eseguito in memoria il modulo Jupyter .NET.
Durante l’esecuzione viene contatto il domino del server di C2 all’indirizzo 37.120.237[.]251

Le relazioni del Sample:

Comunicazione tra il sample MSI e il server C2

Sono state identificate due varianti con certificato appartenente a un’azienda polacca. Si presume che i criminali siano riusciti ad ottenere il certificato tramite un attacco informatico nei confronti di tale azienda.

Revoca del certificato

Take your cyber- defence to a new level!

Cybersecurity is of vital importance in today's digital landscape. Our innovative and tailored solutions provide impenetrable defense for businesses of all sizes.

More info here

Related articles

qr code phishing
In the ever-evolving landscape of cyber threats, threat actors are constantly seeking […]
Risks and Solutions How to protect and how to react The identification […]
fickerstealer
Over the last week (26th of July 2021), CERT-AGID observed a malspam […]