Desde Panda Security alertan sobre el retorno del malware Jupyter, que llevaba hibernando desde el verano o antes. Este troyano creado por cibercriminales rusos roba los datos almacenados en los ordenadores y smartphones de sus incautas víctimas, incluyendo todas las credenciales almacenadas en los navegadores.

Una de las noticias más salientables de la semana en el apartado de ciberseguridad es el retorno del malware Jupyter, que vuelve a la carga tras meses de inactividad. Especialmente se dirige a empresas y educación superior y su propósito es probar nombres de usuario, contraseñas y otra información privada, así como para crear una puerta trasera persistente en los sistemas comprometidos.

Fue descubierto por la empresa de ciberseguridad Morphisec. Se cree que el troyano ha estado activo desde mayo de este año, pero es este otoño cuando ha regresado con virulencia. El ataque se dirige principalmente a los datos del navegador Chromium, Firefox y Chrome, pero también tiene capacidades adicionales para abrir una puerta trasera en sistemas comprometidos, lo que permite a los atacantes ejecutar scripts y comandos de PowerShell, así como la capacidad de descargar y ejecutar malware adicional.

¿Cómo se detecta?

El instalador de Jupyter está disfrazado en un archivo comprimido, a menudo usando íconos de Microsoft Word y nombres de archivos que parecen necesitar ser abiertos urgentemente, relacionados con documentos importantes, detalles de viaje o un aumento de sueldo. Las excusas que lo envuelven son variadas, pero todas ellas brillan por el carácter urgente e inmediato a la hora de ejecutar la acción.

Al ejecutar el instalador, el malware instala a la par herramientas legítimas en un esfuerzo por esconder el código malicioso en segundo plano, alojado en carpetas temporales. Una vez campa a sus anchas por el sistema, Jupyter se dedica a robar información, incluyendo nombres de usuario, contraseñas, formularios de autocompletar, historial de navegación y cookies, y los envía a un servidor de comando y control. El análisis del malware mostró que quien lo creó cambia constantemente el código para recopilar más información y, al mismo tiempo, dificulta la detección de las víctimas.

Los propósitos de sus creadores pueden oscilar desde el acceso adicional a redes para ataques futuros, hurto de información sensible o venta en la deep web de credenciales de inicio de sesión y acceso de puerta trasera a sistemas para otros cibercriminales. Gracias al malware pueden obtener acceso a todas las tarjetas de crédito del usuario, tiendas online a las que haya acudido o redes sociales.

Desde Panda Security alertan de que “el mayor riesgo de esta nueva ciberamenaza es que además de recopilar datos, su código está diseñado para dejar puertas traseras abiertas en los sistemas que infecta”, por lo que “se actualiza cada vez que los desarrolladores de antivirus avanzan en su detección”. Así, los hackers pueden acceder al dispositivo, recolectar todos los datos robados e instalar más malware para infectar otros apaeatos o incluso minar criptomonedas.

Los virus introducidos mediante backdoors son más peligrosos y destructivos que los convencionales: pueden hacer capturas de pantalla, editar, copiar, borrar o renombrar cualquier archivo, modificar la configuración del sistema, borrar registros, instalar malware o controlar las diferentes aplicaciones del dispositivo.

Fuente | Panda Security/Bleeping Computer