به گزارش کارگروه امنیت سایبربان؛ محققان شرکت نرمافزاری مورفیسِک (Morphisec) از انتشار بدافزاری به نام ژوپیتر (Jupyter) خبر دادند. این بدافزار که به زبان .NET نوشتهشده در یکی از مؤسسات آموزشی آمریکا شناساییشده است.
بنابرگزارش مورفیسک، این تروجان از ماه می سال جاری فعال بوده و دادههای مرورگرهای Chromium ،Firefox و Chrome را سرقت میکند.
ژوپیتر تلاش میکند در سیستم هک شده در پشتی ماندگاری ایجاد کند تا امکان اجرای اسکریپتها و دستورات پاورشل و بارگذاری و اجرای یک بدافزار دیگر را به مهاجمان بدهد.
ژوپیتر یک فایل اجرایی است که در آرشیو زیپ مخفیشده است. هکرها این فایل اجرایی را با استفاده از آیکونهای مایکروسافت ورد و اسامی فایلها استتار کرده و کاربران را تشویق میکنند بلافاصله آنها را باز کنند. این اسناد معمولاً مربوط به افزایش حقوق و اطلاعات مربوط به سفر هستند.
پسازاین که ژوپیتر در سیستم قربانی نصب میشود، اطلاعاتی همچون نام کاربر، پسوردها، دادههای تکمیل خودکار، تاریخچه مرورگر و فایلهای کوکی را جمعآوری و به سرور فرماندهی و کنترل خود ارسال میکند.
محققان مورفیسک میگویند توسعهدهنده ژوپیتر دائماً آن را تغییر داده و سورس کدهایش را جهت جمعآوری هر چه بیشتر اطلاعات ماشینهای هک شده تکمیل میکند.
در حال حاضر هدف نهایی کمپین اپراتورهای این بدافزار مشخص نیست، اما هکرها میتوانند دادههای مسروقه را بفروشند یا از ماشینهای هک شده بهعنوان نقطه ورود به شبکه شرکت برای گسترش دامنه حمله استفاده کنند.
بنابرادعای کارشناسان مورفیسک، ژوپیتر در روسیه طراحیشده و سرورهای کنترل آن در خاک این کشور واقعشدهاند. در پنلهای مدیریت بدافزار تصویر سیاره مشتری قرار دارد که اورجینال آن در فروم هکری روس زبان شناساییشده است. ضمن اینکه کلمه Jupyter ناصحیح بوده و در زبان انگلیسی بهصورت «Jupiter» نوشته میشود و به نظر میرسد نویسندگان بدافزار چندان به زبان انگلیسی تسلطی ندارند.
