Könnyedén ejti át a víruskeresőket a Jupyter trójai

​A Jupyter trójai gyakorta könnyedén jut át a vírusok ellen felállított védelmi vonalakon, hogy aztán adatokat lopjon.
 

Az adatlopásra kiélezett kártékony programok egyik legújabb képviselője a Jupyter. A szerzeményre akkor derült fény, amikor októberben bejutott az egyik amerikai egyetem hálózatába, és onnan adatokat próbált kiszivárogtatni. A felfedezését követően a biztonsági kutatók alaposabban is szemügyre vették a károkozót.
 
A Morphisec biztonsági cég kutatói azt a tájékoztatást adták, hogy a Jupyter első variánsai május környékén jelenhettek meg, és hónapokon keresztül észrevétlenek maradtak. Vélhetőleg ennek egyik oka, hogy a vírusírók intenzíven fejlesztik a kártevőt, és nemcsak annak funkcionalitásának bővítésére fordítják az erőforrásaikat, hanem arra is, hogy minél nagyobb valószínűséggel sikerüljön megtéveszteni a víruskeresőket. A kutatók szerint az utóbbi egy hónapban a trójai egyes összetevői legalább kilenc alkalommal frissültek. Az esetek többségében nem nagy változásokról van szó, de ahhoz pont elegendőek, hogy a víruskeresők ne ismerjék fel - legalábbis egy ideig - a kártevőt.
 
A Jupyter egy .NET keretrendszerre épülő kártékony program, amely legtöbbször ártalmas Word dokumentumok révén terjed. Amennyiben a felhasználó ezeket a dokumentumokat megnyitja, és engedélyezi a makrók futtatását, akkor a trójai PowerShell scriptek segítségével feljuttatja az ártalmas komponenseit a számítógépre. Eközben néhány ártalmas szoftvert is telepít, ami leginkább a figyelem elterelését szolgálja. (A károkozó fertőzése során egyebek mellett a Docx2Rtf és a Magix Photo Manager is felkerülhet a PC-re.)
 
A trójai eddig lefülelt összetevői elsősorban webböngészőkből történő adatlopásra alkalmasak. Kompatibilisek a Chromium, a Google Chrome és a Mozilla Firefox böngészőkkel is. Ezekből többek között kigyűjtik a sütiket, a mentett felhasználóneveket, a jelszavakat, a tanúsítványokat és az automatikus űrlapkitöltésekhez eltárolt felhasználói adatokat is. A bezsebelt információkat pedig távoli kiszolgálókra töltik fel.
 
A Morphisec szerint a Jupyter vezérlőszervereinek zöme Oroszországban található. Ugyanakkor nem kizárólag ez utal arra, hogy a károkozó mögött orosz kiberbanda állhat, hanem a kártékony program kódjában feltárt ismertetőjegyek is.
 
A Jupyter is rávilágít arra, hogy a vírusvédelmi szoftverek naprakészen tartása rendkívül fontos a gyorsan változó kártékony programok elleni harcban.