Overblog
Edit post Seguir este blog Administration + Create my blog

Publicado por Bienvenidos a Portal de Noticias

El CERT ucraniano advierte a los ciudadanos sobre una nueva ola de ataques que distribuyen el malware Jester

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) advirtió sobre ataques de phishing que implementan un malware de robo de información llamado Jester Stealer en sistemas comprometidos.  La campaña de correo electrónico masivo lleva el asunto "ataque químico" y contiene un enlace a un archivo de Microsoft Excel habilitado para macros, que se abre y conduce a que las computadoras se infecten con Jester Stealer.  El ataque, que requiere que las víctimas potenciales habiliten las macros después de abrir el documento, funciona descargando y ejecutando un archivo .EXE que se recupera de los recursos web comprometidos, detalló CERT-UA.

Jester Stealer, que fue documentado por primera vez por Cyble en febrero de 2022, viene con funciones para robar y transmitir credenciales de inicio de sesión, cookies e información de tarjetas de crédito junto con datos de administradores de contraseñas, mensajeros de chat, clientes de correo electrónico, billeteras criptográficas y aplicaciones de juegos al atacantes  "Los piratas informáticos obtienen los datos robados a través de Telegram utilizando direcciones proxy configuradas estáticamente (por ejemplo, dentro de TOR)", dijo la agencia . "También usan técnicas anti-análisis (anti-VM/debug/sandbox). El malware no tiene un mecanismo de persistencia: se elimina tan pronto como se completa su operación".  La campaña Jester Stealer coincide con otro ataque de phishing que CERT-UA ha atribuido al actor del estado-nación ruso rastreado como APT28 (también conocido como Fancy Bear o Strontium).  Los correos electrónicos, titulados "Кібератака" (que significa ciberataque en ucraniano), se hacen pasar por una notificación de seguridad de CERT-UA y vienen con un archivo RAR adjunto "UkrScanner.rar" que, cuando se abre, despliega un malware llamado CredoMap_v2.Jester Stealer, que fue documentado por primera vez por Cyble en febrero de 2022, viene con funciones para robar y transmitir credenciales de inicio de sesión, cookies e información de tarjetas de crédito junto con datos de administradores de contraseñas, mensajeros de chat, clientes de correo electrónico, billeteras criptográficas y aplicaciones de juegos al atacantes  "Los piratas informáticos obtienen los datos robados a través de Telegram utilizando direcciones proxy configuradas estáticamente (por ejemplo, dentro de TOR)", dijo la agencia . "También usan técnicas anti-análisis (anti-VM/debug/sandbox). El malware no tiene un mecanismo de persistencia: se elimina tan pronto como se completa su operación".  La campaña Jester Stealer coincide con otro ataque de phishing que CERT-UA ha atribuido al actor del estado-nación ruso rastreado como APT28 (también conocido como Fancy Bear o Strontium).  Los correos electrónicos, titulados "Кібератака" (que significa ciberataque en ucraniano), se hacen pasar por una notificación de seguridad de CERT-UA y vienen con un archivo RAR adjunto "UkrScanner.rar" que, cuando se abre, despliega un malware llamado CredoMap_v2.

A diferencia de las versiones anteriores de este malware ladrón, este usa el protocolo HTTP para la exfiltración de datos", señaló CERT-UA . "Los datos de autenticación robados se enviarán a un recurso web, implementado en la plataforma Pipedream, a través de solicitudes HTTP POST".  Las revelaciones siguen hallazgos similares de la Unidad de Seguridad Digital (DSU) de Microsoft y el Grupo de Análisis de Amenazas (TAG) de Google sobre equipos de piratería patrocinados por el estado ruso que llevan a cabo operaciones de robo de datos y credenciales en Ucrrania.

thehackernews

Para estar informado de los últimos artículos, suscríbase:
Comentar este post