一个新的Jupyter恶意软件版本正在通过MSI安装程序分发

网络安全研究人员绘制了Jupyter的演变图，Jupyter是一家。NET infostealer以挑出医疗保健和教育行业而闻名，这使其在击败大多数端点安全扫描解决方案方面独树一帜

Morphisec在9月8日发现了这条新的交付链，它强调了恶意软件不仅继续保持活跃，而且还展示了“威胁参与者如何继续发展他们的攻击，使其变得更加高效和规避”这家以色列公司表示，目前正在调查袭击的规模和范围

最早记录于2020年11月，Jupyter（又名Solarmarker）可能起源于俄罗斯，主要针对Chrome、Firefox和Chrome浏览器数据，并具有允许完整后门功能的附加功能，包括虹吸信息、将详细信息上传到远程服务器、下载并执行进一步有效负载的功能。Morphisec收集的法医证据显示，Jupyter的多个版本从2020年5月开始出现

2021年8月，思科塔罗斯把入侵归咎于一个“相当复杂的演员，主要集中在凭证和偷窃信息上。”今年2月早些时候，网络安全公司CrowdStrike将该恶意软件描述为打包了一个多阶段、严重模糊的PowerShell加载程序，从而导致执行一个新的测试。NET编译的后门

虽然之前的攻击包含了Docx2Rtf和Expert PDF等知名软件的合法二进制文件，但最新的交付链使用了另一个名为Nitro Pro的PDF应用程序。这些攻击首先部署了一个大小超过100MB的MSI安装程序负载，允许它们绕过反恶意软件引擎，并使用名为Advanced installer的第三方应用程序打包向导进行模糊处理

运行MSI有效负载会导致执行嵌入Nitro Pro 13合法二进制文件中的PowerShell loader，观察到其中的两个变体使用波兰实际企业的有效证书签名，这表明可能存在证书假冒或盗窃。加载程序在最后阶段解码并运行内存中的Jupyter。NET模块

“从2020年我们首次发现Jupyter信息窃取者/后门的演变证明了威胁行为者总是在创新这一说法的真理，”Morphisec研究员纳达夫·洛伯说。“这次攻击在VirusTotal上的检测率仍然很低或根本没有检测到，这进一步表明了威胁行为体利用这种设施逃避基于检测的解决方案。”