Las amenazas cibernéticas continúan evolucionando y adaptándose a las defensas cada vez más robustas. En noviembre de 2023, se ha detectado una nueva versión del infostealer Jupyter que está causando preocupación en la comunidad de ciberseguridad. En este artículo, exploraremos en detalle esta amenaza emergente, explicando qué es Jupyter, cómo funciona y qué medidas se pueden tomar para protegerse contra ella.
Jupyter Infostealer es un tipo de malware diseñado para robar información confidencial de las computadoras de las víctimas. Este malware obtiene su nombre de Jupyter Notebook, una popular plataforma de código abierto ampliamente utilizada por científicos de datos y programadores para crear y compartir documentos interactivos que contienen código, ecuaciones, visualizaciones y texto.
La conexión entre el malware y Jupyter Notebook puede parecer sorprendente, pero los ciberdelincuentes a menudo eligen nombres que confundan o despisten a las víctimas. En este caso, el nombre "Jupyter" podría hacer que las personas menos conocedoras de la tecnología subestimen la amenaza o incluso la pasen por alto por completo.
Te podría interesar leer: Análisis de Malware con Wazuh
Una versión actualizada de un malware ladrón de información, ampliamente conocido como Jupyter, ha resurgido con "cambios simples pero impactantes" que buscan establecer de manera sigilosa un punto de apoyo persistente en sistemas comprometidos.
Investigadores de VMware Carbon Black han descubierto nuevas oleadas de ataques relacionados con el Jupyter Infostealer. Estos ataques aprovechan las modificaciones de los comandos de PowerShell y las firmas de claves privadas para hacer que el malware se presente como un archivo legítimamente firmado. El Jupyter Infostealer, también conocido como Polazert, SolarMarker y Yellow Cockatoo, se ha destacado por su historial de utilizar tácticas manipuladas de optimización de motores de búsqueda (SEO) y publicidad maliciosa como vector de acceso inicial. Esto engaña a los usuarios que buscan software popular para descargarlo desde sitios web dudosos.
Podría interesarte leer: Detecta si estás en un Sitio Web Pirateado
Este malware tiene capacidades para recopilar credenciales y establecer comunicación cifrada de comando y control (C2) para filtrar datos y ejecutar comandos arbitrarios. La última iteración del malware utiliza varios certificados para firmar el malware, dándoles una apariencia de legitimidad, solo para que los instaladores falsos activen la cadena de infección al ejecutarse.
Los instaladores están diseñados para invocar una carga útil provisional que, a su vez, emplea PowerShell para conectarse a un servidor remoto y, finalmente, decodificar e iniciar el malware ladrón.
Esta evolución en el malware refleja la tendencia en el mundo del cibercrimen, donde los atacantes están adoptando nuevas tácticas y técnicas, lo que disminuye la barrera de entrada para actores menos experimentados. Por ejemplo, Lumma Stealer ha recibido una actualización que incorpora un cargador y la capacidad de generar aleatoriamente una compilación para mejorar la ofuscación.
Esta mejora hace que el malware pase de ser un simple ladrón de información a un software más sigiloso que puede cargar ataques de segunda etapa, como el ransomware, sobre sus víctimas. La familia de malware Mystic Stealer también ha mejorado sus capacidades, incluyendo una funcionalidad de carga en versiones recientes para complementar sus habilidades de robo de información.
La naturaleza en constante evolución de este tipo de malware se ilustra aún más con la aparición de ladrones y troyanos de acceso remoto, como Akira Stealer y Millenium RAT, que vienen equipados con diversas funciones para facilitar el robo de datos.
También podría interesarte: Presentación de la Versión Actualizada de Raccoon Stealer.
Esta divulgación llega en un momento en el que se ha observado que cargadores de malware como PrivateLoader y Amadey están infectando miles de dispositivos con una botnet proxy llamada Socks5Systemz, que ha estado en funcionamiento desde 2016.
Una empresa de ciberseguridad, ha revelado detalles de este servicio y ha identificado al menos 53 servidores relacionados con la botnet distribuidos en Francia, Bulgaria, Países Bajos y Suecia. El objetivo principal de esta campaña es convertir las máquinas infectadas en servidores proxy capaces de reenviar tráfico a otros actores, ya sean legítimos o no, como una capa adicional de anonimato. Se sospecha que los actores de la amenaza tienen origen ruso, dado que no se han encontrado contagios en ese país.
Dado que Jupyter Infostealer representa una amenaza significativa para la seguridad de los datos, es esencial tomar medidas para protegerse contra ella. Aquí hay algunas recomendaciones clave:
1. Mantener el software actualizado: Mantener tu sistema operativo y software actualizados con los últimos parches de seguridad es fundamental. Muchos ataques de malware, incluido Jupyter Infostealer, aprovechan vulnerabilidades conocidas que podrían haberse corregido con actualizaciones.
2. Educación en seguridad: La formación en seguridad cibernética es esencial para que los usuarios reconozcan las señales de advertencia de posibles ataques, como correos electrónicos de phishing. La concienciación y la formación pueden ayudar a prevenir la infección inicial.
3. Software antivirus y antimalware: Utilizar software antivirus y antimalware de buena reputación puede ayudar a detectar y eliminar amenazas como Jupyter Infostealer. Asegúrese de mantener su software de seguridad actualizado para protegerse contra las últimas amenazas.
4. Filtrado de correo electrónico: Implementar soluciones de filtrado de correo electrónico puede ayudar a bloquear correos electrónicos de phishing y otros mensajes maliciosos antes de que lleguen a su bandeja de entrada.
5. Cortafuegos y monitoreo de red: Los cortafuegos y las soluciones de monitoreo de red pueden ayudar a detectar y bloquear el tráfico malicioso que podría estar relacionado con Jupyter Infostealer.
Jupyter Infostealer continúa evolucionando y representando una amenaza significativa para la seguridad cibernética. Con un conjunto de características avanzadas, esta nueva versión del malware puede ser especialmente peligrosa. Sin embargo, con medidas adecuadas de seguridad y concienciación, es posible protegerse contra esta amenaza y otras similares. La ciberseguridad es una preocupación constante en el mundo digital actual, y la protección de los datos y la información confidencial debe ser una prioridad para todos los usuarios y organizaciones.