Kampanye malware trojan yang baru ditemukan menargetkan bisnis dan lembaga pendidikan tinggi dalam upaya untuk mencuri nama pengguna, kata sandi, dan informasi pribadi lainnya serta membuat backdoor yang persisten ke sistem yang disusupi.
Penyalahgunaan Jupyter telah dirinci oleh perusahaan keamanan siber Morphisec yang menemukannya di jaringan lembaga pendidikan tinggi yang tidak disebutkan namanya di AS. Trojan tersebut diperkirakan telah aktif sejak Mei tahun ini.
Serangan tersebut terutama menargetkan data browser Chromium, Firefox, dan Chrome, tetapi juga memiliki kemampuan tambahan untuk membuka backdoor pada sistem yang disusupi, memungkinkan penyerang untuk menjalankan skrip dan perintah PowerShell, serta kemampuan untuk mengunduh dan menjalankan malware tambahan.
Installer Jupyter disamarkan dalam file zip, sering kali menggunakan ikon Microsoft Word dan nama file yang sepertinya harus segera dibuka, berkaitan dengan dokumen penting, detail perjalanan, atau kenaikan gaji.
Jika installer dijalankan, ia akan menginstal alat yang sah dalam upaya untuk menyembunyikan tujuan sebenarnya dari instalasi – mengunduh dan menjalankan installer jahat ke dalam folder temporary di latar belakang.
Setelah terinstal sepenuhnya pada sistem, Jupyter mencuri informasi termasuk nama pengguna, kata sandi, autocompletes, riwayat penjelajahan & cookie dan mengirimkannya ke server perintah dan kontrol.
Analisis malware menunjukkan bahwa siapa pun yang membuatnya terus-menerus mengubah kode untuk mengumpulkan lebih banyak informasi sekaligus mempersulit korban untuk mendeteksi.
Para peneliti percaya bahwa Jupyter berasal dari Rusia. Analisis malware tidak hanya mengungkapkan bahwa itu terkait dengan server perintah dan kontrol di Rusia, tetapi reverse image searching yang dilakukan mengungkapkan gambar planet Jupiter di panel admin infostealer yang asli berasal dari forum berbahasa Rusia.
Berita selengkapnya:
Sumber: ZDNet
