Een bijgewerkte versie van een informatie-steler-malware bekend als Jupyter is weer opgedoken met ‘eenvoudige maar impactvolle veranderingen’ die erop gericht zijn om heimelijk vaste voet aan de grond te krijgen op gecompromitteerde systemen.
“Het team heeft nieuwe golven van Jupyter Infostealer-aanvallen ontdekt die gebruik maken van PowerShell-opdrachtwijzigingen en handtekeningen van privésleutels in pogingen om de malware door te geven als een legitiem ondertekend bestand”, aldus VMware Carbon Black-onderzoekers in een rapport gedeeld met The Hacker News.
Jupyter Infostealer, ook wel bekend als Polazert, SolarMarker en Yellow Cockatoo, heeft een staat van dienst in het inzetten van gemanipuleerde tactieken voor zoekmachineoptimalisatie (SEO) en malvertising als een initiële toegangsvector om gebruikers die op zoek zijn naar populaire software te misleiden zodat ze deze van dubieuze websites downloaden.
Het wordt geleverd met mogelijkheden om inloggegevens te verzamelen en om gecodeerde command-and-control (C2)-communicatie tot stand te brengen om gegevens te exfiltreren en willekeurige opdrachten uit te voeren.
De nieuwste reeks artefacten maakt gebruik van verschillende certificaten om de malware te ondertekenen en deze een laagje legitimiteit te geven, waarna de nep-installatieprogramma’s de infectieketen bij de lancering kunnen activeren.
De installatieprogramma’s zijn ontworpen om een tussentijdse payload op te roepen die op zijn beurt PowerShell gebruikt om verbinding te maken met een externe server en uiteindelijk de stealer-malware te decoderen en te starten.
De ontwikkeling vindt plaats op het moment dat stealer-malware die te koop wordt aangeboden in de cybercriminaliteit, blijft evolueren met nieuwe tactieken en technieken, waardoor de toegangsdrempel voor minder vaardige actoren effectief wordt verlaagd.
Dit omvat een update voor Lumma Stealer, die nu een lader bevat en de mogelijkheid om willekeurig een build te genereren voor verbeterde verduistering.
“Hierdoor verandert de malware van een stealer-type in een meer slinkse malware die tweede-fase-aanvallen op zijn slachtoffers kan laden”, aldus VMware. “De loader biedt de bedreigingsacteur een manier om zijn aanval te escaleren, van gegevensdiefstal tot het infecteren van zijn slachtoffers met ransomware.”
Een andere familie van stealer-malware die gestage verbeteringen heeft ondergaan, is Mystic Stealer, die in recente versies ook een laderfunctionaliteit heeft toegevoegd als aanvulling op de mogelijkheden om informatie te stelen.
“De code blijft evolueren en de mogelijkheden voor gegevensdiefstal uitbreiden en de netwerkcommunicatie is bijgewerkt van een aangepast binair TCP-gebaseerd protocol naar een HTTP-gebaseerd protocol”, zei Zscaler eind vorige maand in een rapport.
“De nieuwe aanpassingen hebben geleid tot een grotere populariteit bij criminele dreigingsactoren die de laderfunctionaliteit gebruiken om extra malwarefamilies te verspreiden, waaronder RedLine, DarkGate en GCleaner.”
De voortdurend evoluerende aard van dergelijke malware wordt verder geïllustreerd door de opkomst van stealers en trojans voor externe toegang, zoals Akira Stealer en Millenium RAT, die zijn uitgerust met verschillende functies om gegevensdiefstal te vergemakkelijken.
De onthulling komt ook omdat is waargenomen dat malware-laders zoals PrivateLoader en Amadey duizenden apparaten infecteren met een proxy-botnet genaamd Socks5Systemz, dat al sinds 2016 bestaat.
Cyberbeveiligingsbedrijf Bitsight, dat vorige week details over de dienst onthulde, zei dat het minstens 53 servers heeft geïdentificeerd die verband houden met het botnet en die verspreid zijn over Frankrijk, Bulgarije, Nederland en Zweden.
Het uiteindelijke doel van de campagne is om geïnfecteerde machines om te zetten in proxy’s die verkeer kunnen doorsturen naar andere actoren, legitiem of anderszins, als een extra laag van anonimiteit. Het vermoeden bestaat dat de dreigingsactoren van Russische afkomst zijn, gezien het gebrek aan infecties in het land.
“Met de proxyservice kunnen klanten een abonnement kiezen dat varieert van $ 1 USD tot $ 4.000 USD, volledig betaalbaar met behulp van cryptocurrency”, aldus Bitsight. “Op basis van netwerktelemetrieanalyses wordt geschat dat dit botnet ongeveer 10.000 geïnfecteerde systemen heeft met slachtoffers verspreid over de hele wereld.”
