*** 安全研究人员发现了一个通过MSI安装程序分发的新版本的Jupyter infostealer。

2020年11月，Morphisec的研究人员发现，威胁者一直在使用.Net infostealer(记为Jupyter)，从受害者那里窃取信息。

恶意软件Jupyter能够从多个应用程序收集数据，包括主要的浏览器(基于Chrome的浏览器，Firefox和Chrome)，还能够在受感染的系统上建立后门。

“Jupyter是一个主要针对Chromium、Firefox和Chrome浏览器数据的信息收集器。然而，它的攻击链、传递链和加载程序充分说明它具备了建立完整后门功能的功能。”Morphisec发表的分析写道。它的行为包括:

• 一个C2的客户端
• 下载并执行恶意软件
• PowerShell脚本和命令的执行
• 将shellcode置入到合法的Windows配置应用程序中。

专家们在10月份的一次例行事件反应过程中发现了Jupyter infostealer，但根据取证数据，早在5月份该软件的早期版本就出现了。

该恶意软件不断更新，以逃避检测，并增加新的信息窃取功能，最新版本是在11月初创建的。

在发现它的时候，Jupyter正要下载一个ZIP归档文件，其中包含伪装成合法软件(即Docx2Rtf)的安装程序(innosetup可执行程序)。

2021年9月8日，研究人员观察到一个新的传递链，通过使用执行Nitro Pro 13合法安装二进制文件的MSI有效负载，该链能够避免检测。

MSI安装程序负载超过100MB，绕过在线AV扫描仪，并使用第三方的“一体化”应用程序打包工具，混淆视听。

在执行MSI有效负载时，一个嵌入在Nitro Pro 13合法二进制文件中的PowerShell加载程序将被执行。

“这个加载程序与以前的Jupyter加载程序非常相似，因为它在VirusTotal上持有一个躲避检测的文件，可使检测率低至0，这对于完整的PowerShell加载程序(带有嵌入式负载的加载程序代码)是很少见的。专家们发表的分析写道。“我们在各个博客中广泛讨论了Jupyter infostealer，发现新的变体使用的是相同的代码模式。

在研究人员分析的两种变体中，有一种是签发给一家名为“TACHOPARTS SP Z O O”的波兰企业的有效证书。专家分析的另一种变体带有一份名为“OOO Sistema”的已失效证书。

“自我们在2020年首次发现Jupyter infostealer/后门以来，它的进化证明了威胁者总是在创新手段。他们的攻击可以轻易通过VirusTotal的检测，这进一步表明威胁者利用各种手段逃避检测方案。”专家们总结道，“显然，我们需要一种新的 *** 来预防威胁。”

消息来源：SecurityAffairs，译者：Zoeppo；

本文由 HackerNews.cc 翻译整理，封面来源于 *** ；

转载请注明“转自 HackerNews.cc ” 并附上原文链接