{"id":3249,"date":"2021-09-27T16:08:06","date_gmt":"2021-09-27T16:08:06","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=3249"},"modified":"2023-09-16T11:02:29","modified_gmt":"2023-09-16T11:02:29","slug":"nuova-variante-del-malware-jupyter","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/uncategorized-it\/nuova-variante-del-malware-jupyter\/","title":{"rendered":"Nuova variante del malware Jupyter"},"content":{"rendered":"\n

Jupyter<\/strong> \u00e8 un Infostealer<\/em> di probabile provenienza russa progettato con lo scopo di rubare alle vittime le loro informazioni personali e sensibili. La funzione primaria \u00e8 quella di prelevare le informazioni memorizzate<\/strong> all’interno di browser come Chromium<\/strong>, Firefox<\/strong> e Chrome<\/strong>; include anche funzionalit\u00e0 di backdoor, la quale permette ai criminali di eseguire codice Powershell e installare altri malware sulle macchine colpite. E’ noto per essere un malware packed<\/em> a pi\u00f9 fasi, fortemente offuscato, che attraverso del codice PowerShell porta all’esecuzione di una backdoor .NET<\/strong>.<\/p>\n\n\n\n

Di recente \u00e8 stata individuata una nuova versione di questo Infostealer<\/em> (link<\/a>). La catena di compromissione ha inizio attraverso un file MSI di dimensione superiore ai 100MB<\/strong>. Tale dimensione permette di non essere rilevato dagli antivirus online. Il file sembrerebbe essere stato creato utilizzando una versione trial<\/em> del software Advanced Installer, il quale permette di creare dei “pacchetti” di applicazioni All-in-one.<\/p>\n\n\n\n

Informazioni generali:<\/p>\n\n\n\n

\"\"
Fig. 1 – Informazioni sul Sample<\/figcaption><\/figure><\/div>\n\n\n\n

\u200eL’esecuzione del payload MSI porta all’esecuzione del codice PowerShell incorporato all’interno di un binario legittimo di Nitro Pro 13. Nella fase finale dell’esecuzione del sample viene decodificato ed eseguito in memoria il modulo Jupyter .NET.
Durante l’esecuzione viene contatto il domino del server di C2 all’indirizzo 37.120.237[.]251

<\/p>\n\n\n\n

Le relazioni del Sample:<\/p>\n\n\n\n

<\/p>\n\n\n\n

\"\"
Comunicazione tra il sample MSI e il server C2<\/figcaption><\/figure><\/div>\n\n\n\n

Sono state identificate due varianti con certificato appartenente a un’azienda polacca. Si presume che i criminali siano riusciti ad ottenere il certificato tramite un attacco informatico nei confronti di tale azienda.<\/p>\n\n\n\n

\"\"
Revoca del certificato<\/figcaption><\/figure><\/div>\n\n\n\n

<\/p>\n","protected":false},"excerpt":{"rendered":"

Jupyter \u00e8 un Infostealer di probabile provenienza russa progettato con lo scopo di rubare alle vittime le loro informazioni personali e sensibili. La funzione primaria \u00e8 quella di prelevare le informazioni memorizzate all’interno di browser come Chromium, Firefox e Chrome; include anche funzionalit\u00e0 di backdoor, la quale permette ai criminali di eseguire codice Powershell e […]<\/p>\n","protected":false},"author":1,"featured_media":3387,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[954],"tags":[1627,1439],"class_list":["post-3249","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized-it","tag-jupyter-it","tag-malware-it"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3249","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=3249"}],"version-history":[{"count":1,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3249\/revisions"}],"predecessor-version":[{"id":4082,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3249\/revisions\/4082"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media\/3387"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=3249"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=3249"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=3249"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}