Jupyter病毒重出江湖：寄生于MSI安裝程序

以色列動(dòng)態(tài)防御技術(shù)公司Morphisec的網(wǎng)絡(luò )安全研究院日前發(fā)布報告，稱(chēng)去年活躍于互聯(lián)網(wǎng)的Jupyter病毒程序出現了新版本，它仍然狡猾地隱身于各個(gè)程序中，竊取用戶(hù)數據。

以色列動(dòng)態(tài)防御技術(shù)公司Morphisec的網(wǎng)絡(luò )安全研究院日前發(fā)布報告，稱(chēng)去年活躍于互聯(lián)網(wǎng)的程序出現了新版本，它仍然狡猾地隱身于各個(gè)程序中，竊取用戶(hù)數據。

2020年11月，研究者首次發(fā)現了Jupyter病毒的蹤跡，它主要感染電腦系統的瀏覽器應用，感染后會(huì )迅速在系統中建立后門(mén)，并將數據傳送至目標服務(wù)器端。事實(shí)上，Morphisec專(zhuān)家相信，早在2020年5月，Jupyter病毒的初期版本就已經(jīng)被開(kāi)發(fā)出來(lái)，通過(guò)半年的不斷版本更新，它已經(jīng)能逃過(guò)目前主流的查殺體系，難以被普通用戶(hù)和防御系統所發(fā)現。

在去年的版本中，Jupyter病毒會(huì )在感染瀏覽器后。在后臺下載一個(gè)ZIP文件，其中包含了一個(gè)偽裝成合法應用的安裝程序。

而在最新發(fā)布的版本中，研究人員發(fā)現Jupyter病毒會(huì )狡猾地隱藏在Nitro Pro 13的安裝程序中，并最終透過(guò)嵌入在Nitro Pro 13的PowerShell加載程序的代碼實(shí)施攻擊。

研究人員表示，新發(fā)現的病毒與此前Jupyter病毒供給模式如出一轍，為了躲避供給，它們往往都會(huì )隱藏在合法應用的PowerShell加載程序里，這意味著(zhù)一般手段難以檢測到病毒的危害，甚至難以觸發(fā)病毒預警。

Jupyter病毒的演變再次為信息安全敲響了警鐘，事實(shí)上隨著(zhù)防護手段的不斷升級，病毒也總是進(jìn)行著(zhù)日新月異的變化，攻擊者們總能想到一些全新的手段來(lái)逃避防火墻或是殺毒軟件的檢測。因此，對于信息安全，我們應該時(shí)刻保持警惕，你永遠不知道攻擊者會(huì )隱藏在何處，也不知道他們究竟會(huì )以什么卑鄙的手段，來(lái)獲取你的個(gè)人數據。

原文地址：https://www.freebuf.com/news/290432.html