Исследователи по безопасности из Morphisec обнаружили активно распространяющийся компьютерный вирус, целью которого является воровство паролей и прочей личной конфиденциальной информации, а также создание постоянного бэкдора для скомпрометированных систем.

Вирус под названием Jupyter нацелен на коммерческий сектор, предприятия и учебные организации. Считается, что троян активен с мая этого года, но обнаружен лишь спустя полгода.

Атака в первую очередь нацелена на данные браузера Chromium, Firefox и Chrome.

Однако у трояна есть дополнительные возможности для открытия бэкдора в скомпрометированных системах, позволяя злоумышленникам выполнять сценарии и команды PowerShell, а также возможность загружать и выполнять дополнительные вредоносные программы.

Опасный вред системе

Установщик Jupyter маскируется в виде заархивированного файла, часто с использованием значков Microsoft Word и имен файлов, которые выглядят так, как будто их нужно срочно открыть: они часто связаны с важными документами, вроде сведений о поездках или повышением заработной платы.

В случае, если неопытный пользователь запустит установку, то программа скрывается под бесплатными и абсолютно легальными инструментами, чтобы скрыть основное свое вредоносное предназначение – загрузку и запуск вредоносной программы установки во временные папки в фоновом режиме.

После полной установки, прописывания и активации в системе, Jupyter начинает активно воровать информацию, включая имена пользователей, пароли, автозаполнение, историю просмотров и файлы cookie, и отправляет их на удаленный сервер злоумышленников.

Вирус улучшается

Анализ вредоносной программы показал, что автор постоянно изменяет и улучшает код вируса, чтобы собирать больше информации, а также усложняет его обнаружение.

Точная мотивация кражи информации остается неясной. Но киберпреступники могут использовать ее для получения дополнительного доступа к сетям для дальнейших атак и кражи очень дорогих конфиденциальных данных. Недавно Ubisoft постигла такая участь – хакеры украли данные компании и потребовали за них выкуп.

Российский след

По мнению экспертов по безопасности, Jupyter является детищем хакеров из России. Анализ вредоносной программы показал, что данные отправляются на сервера, расположенные в России. Также впервые он появился на русскоязычнхы форумах.

Характерной особенностью вредоносной программы является ее название. На английском слово Jupyter написано с ошибкой – если оно действительно связано с планетой Юпитер, то правильное написание слова Jupiter.

Детальный разбор программы показал, что многие удаленные серверы сейчас неактивны, но панель администратора все еще работает, что говорит о том, что "миссия" Jupyter, возможно, еще не завершена, пишет ZDNet .