Allarme Qubitstrike: il malware colpisce i notebook Jupyter

Secondo quanto riportato da Cado Security, alcuni cybercriminali stanno diffondendo il malware Qubitstrike su notebook Jupyter. L’attacco, a quanto pare, sfrutta l’ambiente cloud utilizzato da questi dispositivi, prendendo di mira credenziali e altre informazioni sensibili delle vittime.

Gli attacchi che coinvolgono questo agente malevolo possono anche includere lo scaricamento di ulteriori malware, il che rende tale campagna potenzialmente molto pericolosa e difficile da arrestare. La priorità dei cybercriminali, a quanto pare, resta però quella di installare cryptominer sulle macchine infettate. I ricercatori di Cado hanno notato che gli aggressori utilizzano credenziali CSP rubate per attaccare i notebook o e-mail di phishing appositamente create.

Dopo essersi infiltrato con successo, il malware stabilisce una connessione con un server C2 remoto per controllare il sistema compromesso. Fatto ciò, gli aggressori sfruttano la capacità dei notebook di eseguire codice arbitrario per eseguire uno script di shell mi.sh dannoso, camuffato da legittimo strumento di analisi dei dati. Questo script recupera/esegue un miner XMRig e garantisce che venga eseguito ogni volta che il sistema viene riavviato.

Qubitstrike e i notebook Jupyter: un attacco senza precedenti

Come già accennato, però, Qubitstrike non si limita a una semplice operazione di cryptojacking. Gli aggressori possono anche installare backdoor aggiuntive e compiere veri e propri furti d’identità.

Trattandosi di dispositivi adibiti alla ricerca scientifica, poi, i cybercriminali possono facilmente rubare dati di ricerca o alterare gli stessi a piacimento. L’eventuale furto di dati, infine, avviene attraverso appositi bot di Telegram.

I payload della campagna Qubitstrike sono ospitati sul servizio alternativo della piattaforma di hosting Git, codeberg.org, e Discord viene utilizzato per le comunicazioni di comando e controllo.

I ricercatori di Cado Security affermano che questa è la prima volta che questa piattaforma specifica non è mai stata utilizzata per operazioni malware finora. Dunque, l’operazione legata a Qubitstrike può rappresentare un precedente preoccupante per eventuali campagne future.