Jupyter, un troyano que tiene como objetivo a gobiernos y entidades educativas

Recomendados:  2021, ¿el año de la ciberdefensa? Webinar Brechas de seguridad, ¿hay opciones? Webinar  Ciberseguridad orientada al futuro Leer

Una nueva amenaza ha llegado a las organizaciones, un malware que ha sido bautizado como Jupyter y pese, a que fue detectado por analistas de ciberseguridad el pasado mes de noviembre, se sospecha que lleva activo al menos desde el mes de mayo. Los expertos advierten que la sofisticación de este troyano habría motivado que mantenga su actividad durante al menos seis meses sin ser detectado por las soluciones de ciberseguridad tradicionales. Esta capacidad del malware de camuflarse es debida a que cada versión de Jupyter añade un elemento desconocido que hace que esquive las aplicaciones antivirus.

Jupyter se camufla como un documento Word o Excel que acompaña a un email y cuyo título puede estar relacionado con la actividad del objetivo del ataque. Si bien no se conoce exactamente el alcance y daño de este troyano, se sabe que tiene como objetivo, por el momento, organismos gubernamentales y educativos.

El proceso comienza cuando el usuario clica en el archivo adjunto creyendo que contiene material relacionado con su trabajo. Estos archivos adjuntos comprimidos en ZIP contienen un ejecutable (.EXE) que es el que desencadena el proceso: al abrirlo se instala un .NET C2 en la memoria del dispositivo (el cargador de Jupyter) que a su vez descarga un script PoweShell que ejecuta el módulo .NET en el equipo. La maniobra permite que se instalen dos funciones en memoria que son las responsables del robo de información en el dispositivo: una se encarga de recabar datos sobre el sistema, mientras que la segunda hace lo propio con las contraseñas, claves de acceso, cookies y certificados digitales de los navegadores Firefox y Chrome. La verdadera relevancia de Jupyter reside en que el potencial daño en la institución atacada puede ser grave, al obtenerse claves de usuario y contraseña, y sobre todo que ha pasado desapercibido durante mucho tiempo.

Para que las organizaciones se protejan de esta amenaza, Cytomic recomienda que cuenten con soluciones avanzadas de ciberseguridad que sean capaces de detectar malware tan sofisticado. El otro consejo de seguridad consiste en mantener una política de contraseñas adecuada entre los empleados. Es conveniente que no confíen las credenciales de acceso (usuario y contraseña) al navegador, y que cuenten con gestores de contraseñas que las almacenan de forma cifrada en una aplicación separada del navegador.