Ворует пароли: в Интернете обнаружен опасный вирус Jupyter
Исследователи по безопасности из Morphisec обнаружили активно распространяющийся компьютерный вирус, целью которого является воровство паролей и прочей личной конфиденциальной информации, а также создание постоянного бэкдора для скомпрометированных систем.
Вирус под названием Jupyter нацелен на коммерческий сектор, предприятия и учебные организации. Считается, что троян активен с мая этого года, но обнаружен лишь спустя полгода.
Атака в первую очередь нацелена на данные браузера Chromium, Firefox и Chrome.
Однако у трояна есть дополнительные возможности для открытия бэкдора в скомпрометированных системах, позволяя злоумышленникам выполнять сценарии и команды PowerShell, а также возможность загружать и выполнять дополнительные вредоносные программы.
Опасный вред системе
Установщик Jupyter маскируется в виде заархивированного файла, часто с использованием значков Microsoft Word и имен файлов, которые выглядят так, как будто их нужно срочно открыть: они часто связаны с важными документами, вроде сведений о поездках или повышением заработной платы.
В случае, если неопытный пользователь запустит установку, то программа скрывается под бесплатными и абсолютно легальными инструментами, чтобы скрыть основное свое вредоносное предназначение - загрузку и запуск вредоносной программы установки во временные папки в фоновом режиме.
После полной установки, прописывания и активации в системе, Jupyter начинает активно воровать информацию, включая имена пользователей, пароли, автозаполнение, историю просмотров и файлы cookie, и отправляет их на удаленный сервер злоумышленников.
Вирус улучшается
Анализ вредоносной программы показал, что автор постоянно изменяет и улучшает код вируса, чтобы собирать больше информации, а также усложняет его обнаружение.
Точная мотивация кражи информации остается неясной. Но киберпреступники могут использовать ее для получения дополнительного доступа к сетям для дальнейших атак и кражи очень дорогих конфиденциальных данных. Недавно Ubisoft постигла такая участь - хакеры украли данные компании и потребовали за них выкуп.
Российский след
По мнению экспертов по безопасности, Jupyter является детищем хакеров из России. Анализ вредоносной программы показал, что данные отправляются на сервера, расположенные в России. Также впервые он появился на русскоязычнхы форумах.
Характерной особенностью вредоносной программы является ее название. На английском слово Jupyter написано с ошибкой - если оно действительно связано с планетой Юпитер, то правильное написание слова Jupiter.
Детальный разбор программы показал, что многие удаленные серверы сейчас неактивны, но панель администратора все еще работает, что говорит о том, что "миссия" Jupyter, возможно, еще не завершена.
