El CERT ucraniano advierte a los ciudadanos sobre una nueva ola de ataques que distribuyen el malware Jester
El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) advirtió sobre ataques de phishing que implementan un malware de robo de información llamado Jester Stealer en sistemas comprometidos. La campaña de correo electrónico masivo lleva el asunto "ataque químico" y contiene un enlace a un archivo de Microsoft Excel habilitado para macros, que se abre y conduce a que las computadoras se infecten con Jester Stealer. El ataque, que requiere que las víctimas potenciales habiliten las macros después de abrir el documento, funciona descargando y ejecutando un archivo .EXE que se recupera de los recursos web comprometidos, detalló CERT-UA.
Jester Stealer, que fue documentado por primera vez por Cyble en febrero de 2022, viene con funciones para robar y transmitir credenciales de inicio de sesión, cookies e información de tarjetas de crédito junto con datos de administradores de contraseñas, mensajeros de chat, clientes de correo electrónico, billeteras criptográficas y aplicaciones de juegos al atacantes "Los piratas informáticos obtienen los datos robados a través de Telegram utilizando direcciones proxy configuradas estáticamente (por ejemplo, dentro de TOR)", dijo la agencia . "También usan técnicas anti-análisis (anti-VM/debug/sandbox). El malware no tiene un mecanismo de persistencia: se elimina tan pronto como se completa su operación". La campaña Jester Stealer coincide con otro ataque de phishing que CERT-UA ha atribuido al actor del estado-nación ruso rastreado como APT28 (también conocido como Fancy Bear o Strontium). Los correos electrónicos, titulados "Кібератака" (que significa ciberataque en ucraniano), se hacen pasar por una notificación de seguridad de CERT-UA y vienen con un archivo RAR adjunto "UkrScanner.rar" que, cuando se abre, despliega un malware llamado CredoMap_v2.Jester Stealer, que fue documentado por primera vez por Cyble en febrero de 2022, viene con funciones para robar y transmitir credenciales de inicio de sesión, cookies e información de tarjetas de crédito junto con datos de administradores de contraseñas, mensajeros de chat, clientes de correo electrónico, billeteras criptográficas y aplicaciones de juegos al atacantes "Los piratas informáticos obtienen los datos robados a través de Telegram utilizando direcciones proxy configuradas estáticamente (por ejemplo, dentro de TOR)", dijo la agencia . "También usan técnicas anti-análisis (anti-VM/debug/sandbox). El malware no tiene un mecanismo de persistencia: se elimina tan pronto como se completa su operación". La campaña Jester Stealer coincide con otro ataque de phishing que CERT-UA ha atribuido al actor del estado-nación ruso rastreado como APT28 (también conocido como Fancy Bear o Strontium). Los correos electrónicos, titulados "Кібератака" (que significa ciberataque en ucraniano), se hacen pasar por una notificación de seguridad de CERT-UA y vienen con un archivo RAR adjunto "UkrScanner.rar" que, cuando se abre, despliega un malware llamado CredoMap_v2.
A diferencia de las versiones anteriores de este malware ladrón, este usa el protocolo HTTP para la exfiltración de datos", señaló CERT-UA . "Los datos de autenticación robados se enviarán a un recurso web, implementado en la plataforma Pipedream, a través de solicitudes HTTP POST". Las revelaciones siguen hallazgos similares de la Unidad de Seguridad Digital (DSU) de Microsoft y el Grupo de Análisis de Amenazas (TAG) de Google sobre equipos de piratería patrocinados por el estado ruso que llevan a cabo operaciones de robo de datos y credenciales en Ucrrania.
thehackernews