Posté le septembre 28, 2021 à 19:02
LES HACKERS AMÉLIORENT LE LOGICIEL MALVEILLANT JUPYTER POUR LANCER DES ATTAQUES PLUS SOPHISTIQUÉES
Les attaques de piratage contre les établissements de santé sont en augmentation, ce qui est attribué au fait que les acteurs malveillants développent de nouveaux outils de piratage complexes. La nouvelle version du logiciel malveillant Jupyter est l’un des outils sophistiqués qui ont récemment fait leur apparition sur le marché.
Le logiciel malveillant Jupyter est un outil de piratage bien connu. Il fonctionne comme un logiciel .NET qui vole des informations sur divers appareils. Ce logiciel malveillant est couramment utilisé pour cibler les secteurs de l’éducation et de la santé. Le logiciel malveillant a été bien développé par les hackers pour l’améliorer afin qu’il puisse pénétrer même les systèmes de sécurité les plus avancés.
Version améliorée du logiciel malveillant Jupyter
Le nouveau logiciel amélioré a été repéré en activité par Morphisec le 8 septembre. La découverte de ce logiciel malveillant a montré qu’il n’est pas devenu inactif comme beaucoup l’ont supposé, mais qu’il a été configuré par les hackers pour devenir plus efficace dans la gestion des attaques et plus furtif.
Le rapport montre également que le logiciel malveillant a continué à être utilisé pour lancer des attaques. Morphisec, une entreprise israélienne de cybersécurité, a déclaré qu’elle lançait davantage d’enquêtes sur ces attaques menées à l’aide du logiciel malveillant.
Le logiciel malveillant Jupyter, également connu sous le nom de Solarmaker, a été découvert pour la première fois en novembre 2020. Une analyse plus approfondie de Jupyter montre qu’il provient très probablement de la Russie.
Le logiciel malveillant est conçu pour cibler les navigateurs les plus courants tels que Chrome, Chromium et Firefox afin d’accéder aux données de ces navigateurs. Le logiciel malveillant est sophistiqué dans sa conception, car il dispose également d’une fonctionnalité de porte dérobée complète. Cela lui permet de voler et de copier les données sensibles des appareils ciblés. Grâce à la fonctionnalité de porte dérobée, le logiciel malveillant peut également télécharger les données volées sur un serveur distant. Ces données peuvent ensuite être téléchargées et utilisées pour exécuter d’autres charges utiles.
L’analyse de Morphisec montre que le logiciel malveillant Jupyter a évolué et qu’il comporte désormais des fonctionnalités sophistiquées. Morphisec a repéré pour la première fois différentes versions du logiciel malveillant en mai 2020.
En août 2021, Cisco Talos a publié un rapport sur le logiciel malveillant, indiquant que les attaques étaient attribuées à un « acteur assez sophistiqué largement axé sur le vol d’informations résiduelles et d’identifiants. » Cela montre que le logiciel malveillant peut obtenir un accès par porte dérobée aux appareils et voler des informations sensibles qui peuvent ensuite être utilisées pour lancer d’autres attaques.
En février de cette année, CrowdStrike, une société de cybersécurité renommée, a déclaré que le logiciel malveillant utilisé pour mener les attaques contenait un chargeur PowerShell qui a été fortement obscurci. Cela a permis au logiciel malveillant d’exécuter une porte dérobée compilée en .NET qui peut être utilisée pour accéder furtivement aux données des utilisateurs.
Comment cela fonctionne-t-il ?
Les chercheurs ont également examiné le fonctionnement de ce logiciel malveillant et la manière dont il exécute les attaques. Les attaques précédentes utilisant ce logiciel malveillant mettaient en œuvre des binaires légitimes de logiciels réputés tels que Docx2Rtf et Expert PDF. Cependant, l’analyse de ce nouveau logiciel malveillant montre qu’il intègre désormais une nouvelle application PDF baptisée Nitro Pro.
Le déploiement de l’attaque est également complexe et comprend un processus long mais bien détaillé. La première étape de l’attaque implique le déploiement de la charge utile de l’installateur MSU. Cette charge utile a une taille de plus de 100 Mo.
La charge utile d’installation MSI est utilisée pour aider les acteurs de la menace à contourner la détection par les logiciels malveillants. Le logiciel malveillant est également caché par Advanced Installer, un assistant de conditionnement d’applications tiers.
Après l’exécution de la charge utile MSI, le chargeur PowerShell est exécuté. Le chargeur PowerShell est contenu dans la fonctionnalité binaire légitime de Nitro Pro 13. Un examen de ces deux variantes montre qu’elles portent un certificat légitime qui appartient à une entreprise valide opérant en Pologne. Cela montre que lors du développement du logiciel malveillant, les hackers ont usurpé l’identité du certificat de l’entreprise ou ont volé les données.
La dernière étape de cette attaque est le moment où le chargeur décode les informations et exécute le module Jupyter .NET en mémoire. Après cette dernière étape, l’appareil de l’utilisateur sera vulnérable aux attaques de phishing et ses données pourront être volées par des hackers mal intentionnés, qui pourront par exemple les vendre sur le dark web ou les transformer en ransomware.
Nadav Lorber, chercheur chez Morphisec, a déclaré que « l’évolution de l’infostealer/backdoor Jupyter depuis que nous l’avons identifié pour la première fois en 2020 prouve la véracité de l’affirmation selon laquelle les acteurs malveillants innovent en permanence. Le fait que cette attaque continue d’avoir peu ou pas de détections sur VirusTotal indique en outre la facilité avec laquelle les auteurs de menaces échappent aux solutions basées sur la détection. »
Compte tenu du groupe cible des logiciels malveillants Jupyter, qui sont principalement des établissements de santé et d’enseignement, il est primordial que les organisations investissent dans des systèmes de cybersécurité avancés qui protégeront les informations sensibles contre l’accès à des logiciels malveillants sophistiqués créés pour éviter la détection.
