Una versión actualizada de un malware de robo de información conocido como Júpiter ha resurgido con "cambios simples pero impactantes" que apuntan a establecer sigilosamente un punto de apoyo persistente en los sistemas comprometidos.
Jupyter Infostealer, también conocido como Polazert, SolarMarker y Yellow Cockatoo, tiene un historial de aprovechar la optimización manipulada del motor de búsqueda ( SEO ) tácticas y malvertización como un vector de acceso inicial para engañar a los usuarios que buscan software popular para descargarlo de sitios web dudosos.
Viene con capacidades para cosechar credenciales, asà como para establecer una comunicación cifrada de comando y control ( C2 ) para exfiltrar datos y ejecutar comandos arbitrarios.
El último conjunto de artefactos utiliza varios certificados para firmar el malware para prestarles una apariencia de legitimidad, solo para que los instaladores falsos activen la cadena de infección al momento del lanzamiento. Los instaladores están diseñados para invocar una carga útil provisional que, a su vez, emplea PowerShell para conectarse a un servidor remoto y, en última instancia, decodificar e iniciar el malware del ladrón.
"El equipo ha descubierto nuevas oleadas de ataques Jupyter Infostealer que aprovechan las modificaciones de comandos de PowerShell y las firmas de claves privadas en un intento de pasar el malware como un archivo legÃtimamente firmado," Investigadores de VMware Carbon Black.
Enlace Fuente:
¿Necesita ayuda?
Contáctenos y con gusto nuestro equipo de expertos le ayudará a remediar esta vulnerabilidad.
Teléfonos
Chile +56 2 2733 0780
Argentina +54 11 3986-3135
Perú +51 1 7068469