Виявлено новий .NET троян Jupyter, який краде дані браузерів (Chromium, Firefox, Chrome) та має функції бекдору.

Як це працює?

-Атака починається з ZIP-архіву, що містить інсталятор, який маскується під легітимне ПЗ (наприклад, Docx2Rtf).
-.NET C2-клієнт (Jupyter Loader) інжектується в пам’ять, обходячи більшість антивірусів (0 виявлень на VirusTotal).
-Завантажується PowerShell-команда, яка виконує в пам’яті модуль Jupyter для крадіжки даних.
-Використовує холловінг шелкоду в легітимні Windows-додатки та забезпечує персистентність.

Що загрожує? Витік даних браузерів, віддалене виконання команд і компрометація мережі.

Як захиститися?

-Уникайте підозрілих ZIP-архівів і інсталяторів.
-Обмежте виконання PowerShell-скриптів.
-Оновлюйте антивірусне ПЗ та слідкуйте за процесами в пам’яті.
-Перевіряйте мережеві з’єднання на підозрілі C2-сервери.

Jupyter — легкий, але небезпечний троян. Захищайте свої системи!