Home Sociedad Jupyter: El troyano recién descubierto, roba sigilosamente nombres de usuario y contraseñas

Jupyter: El troyano recién descubierto, roba sigilosamente nombres de usuario y contraseñas

Una campaña de malware troyano, recientemente descubierta, está dirigida a las empresas y a la educación superior en lo que parece ser un esfuerzo por robar nombres de usuario, contraseñas y otra información privada, así como por crear una puerta trasera persistente en los sistemas comprometidos.

Jupyter infostealer ha sido detallado por la empresa de seguridad cibernética Morphisec que lo descubrió en la red de un establecimiento de educación superior sin nombre en los EE.UU. Se cree que el troyano ha estado activo desde mayo de este año.

El ataque apunta principalmente a los datos de los navegadores Chromium, Firefox y Chrome, pero también tiene capacidades adicionales para abrir una puerta trasera en los sistemas comprometidos, lo que permite a los atacantes ejecutar scripts y comandos de PowerShell, así como la capacidad de descargar y ejecutar malware adicional.

El instalador de Jupyter está disfrazado en un archivo comprimido, a menudo utilizando iconos de Microsoft Word y nombres de archivos que parecen necesitar ser abiertos urgentemente, relacionados con documentos importantes, detalles de viaje o un aumento de sueldo.

Si el instalador se ejecuta, instalará herramientas legítimas en un esfuerzo por ocultar el verdadero propósito de la instalación: descargar y ejecutar un instalador malicioso en carpetas temporales en segundo plano.

Una vez instalado completamente en el sistema, Jupyter roba información, incluyendo nombres de usuario, contraseñas, autocompletar, historial de navegación y cookies, y los envía a un servidor de comando y control. El análisis del malware demostró que quien lo creó cambia constantemente el código para recopilar más información, al tiempo que dificulta la detección de las víctimas.

Los investigadores creen que Jupyter es originaria de Rusia. El análisis del malware no sólo reveló que estaba vinculado a servidores de mando y control en Rusia, sino que la búsqueda de imágenes inversas del planeta Júpiter en el panel de administración de Infostealer reveló que el original procedía de un foro en lengua rusa. Esta imagen también se escribe Júpiter, probablemente un error ortográfico de ruso a inglés en el nombre del planeta.

Mientras que muchos de los servidores de comando están inactivos, el panel de administración sigue activo, lo que sugiere que las campañas de Jupyter pueden no haber terminado todavía.

Con información de: Europa Press.