Uma versão atualizada de um malware conhecido como Jupyter ressurgiu com "alterações simples, porém impactantes" que visam estabelecer discretamente um ponto de apoio persistente em sistemas comprometidos.
"A equipe descobriu novas ondas de ataques do Jupyter Infostealer, que se utilizam de modificações de comandos do PowerShell e assinaturas de chaves privadas na tentativa de passar o malware como um arquivo legitimamente assinado", disseram os pesquisadores do VMware Carbon Black em um relatório compartilhado com o The Hacker News.
O Jupyter Infostealer, também conhecido como Polazert, SolarMarker e Yellow Cockatoo, tem um histórico de uso de táticas de otimização de mecanismos de busca (SEO) manipulados e malvertising como vetor de acesso inicial para enganar usuários que buscam softwares populares para baixá-los de sites duvidosos.
Ele possui capacidades para colher credenciais, bem como estabelecer comunicações de comando e controle codificadas para exfiltrar dados e executar comandos arbitrários.
O último conjunto de artefatos usa vários certificados para assinar o malware e lhes conferir uma aparência de legitimidade, apenas para os instaladores falsos ativarem a cadeia de infecção no lançamento.
Os instaladores são projetados para invocar uma carga útil intermediária que, por sua vez, usa o PowerShell para se conectar a um servidor remoto e, finalmente, decodificar e lançar o malware.
Essa evolução ocorre à medida que o malware stealer oferecido para venda no submundo do crime cibernético continua a evoluir com novas táticas e técnicas, baixando efetivamente a barreira de entrada para atores menos habilidosos.
Isso inclui uma atualização para o Lumma Stealer, que agora incorpora um carregador e a capacidade de gerar um build aleatoriamente para melhor ofuscação.
"Isso muda o malware de ser um tipo de roubo para um malware mais enganoso que pode carregar ataques de segunda fase em suas vítimas", disse a VMware.
"O carregador proporciona uma maneira para o ator de ameaças escalar seu ataque, desde o roubo de dados até, no máximo, infectar suas vítimas com ransomware."
Outra família de malware stealer que tem recebido melhorias constantes é a Mystic Stealer, que também acrescentou uma funcionalidade de carregador nas versões recentes para complementar suas habilidades de roubo de informações.
"O código continua a evoluir e expandir as capacidades de roubo de dados e a comunicação de rede foi atualizada de um protocolo customizado de TCP para um protocolo baseado em HTTP," disse a Zscaler em um relatório no mês passado.
"As novas modificações levaram a um aumento da popularidade entre os atores de ameaças criminais, utilizando sua funcionalidade de carregador para distribuir outras famílias de malware, incluindo RedLine, DarkGate e GCleaner."
A natureza constantemente evolutiva de tais malwares é ainda mais exemplificada pelo surgimento de stealers e trojans de acesso remoto como Akira Stealer e Millenium RAT, que vêm equipados com várias funcionalidades para facilitar o roubo de dados.
A revelação também chega à medida que carregadores de malwares como PrivateLoader e Amadey foram observados infectando milhares de dispositivos com um botnet de proxy chamado Socks5Systemz, que existe desde 2016.
A empresa de segurança cibernética Bitsight, que revelou detalhes do serviço na semana passada, disse que identificou pelo menos 53 servidores relacionados ao botnet distribuídos pela França, Bulgária, Holanda e Suécia.
O objetivo final da campanha é transformar as máquinas infectadas em proxies capazes de encaminhar tráfego para outros atores, legítimos ou não, como uma camada adicional de anonimato.
Suspeita-se que os atores da ameaça sejam de origem russa, dado o baixo número de infecções no país.
"O serviço de proxy permite que os clientes escolham uma assinatura que varia de $1 USD a $4,000 USD, pagável integralmente em criptomoeda", disse a Bitsight.
"Com base em análises de telemetria de rede, estima-se que este botnet tenha aproximadamente 10.000 sistemas infectados com vítimas espalhadas pelo mundo."
Achou este artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdos exclusivos que postamos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...