Het Computer Emergency Response Team van Oekraïne (CERT-UA) heeft gewaarschuwd voor phishing-aanvallen waarbij een informatiestelende malware genaamd Jester Stealer op gecompromitteerde systemen.
De massale e-mailcampagne heeft de onderwerpregel “chemische aanval” en bevat een link naar een macro-enabled Microsoft Excel-bestand, dat opent waardoor computers geïnfecteerd raken met Jester Stealer.
De aanval, waarbij potentiële slachtoffers macro’s moeten inschakelen na het openen van het document, werkt door een .EXE-bestand te downloaden en uit te voeren dat is opgehaald uit gecompromitteerde webbronnen, zo beschrijft CERT-UA.
Jester Stealer, dat voor het eerst werd gedocumenteerd door Cyble in februari 2022, wordt geleverd met functies om inloggegevens, cookies en creditcardgegevens te stelen en te verzenden, samen met gegevens van wachtwoordbeheerders, chatberichten, e-mailclients, cryptoportefeuilles en game-apps naar de aanvallers.
“De hackers krijgen de gestolen gegevens via Telegram met behulp van statisch geconfigureerde proxy-adressen (bijvoorbeeld binnen TOR)”, het bureau zei. “Ze gebruiken ook anti-analysetechnieken (anti-VM/debug/sandbox). De malware heeft geen persistentiemechanisme – het wordt verwijderd zodra de operatie is voltooid.”
De Jester Stealer-campagne valt samen met een andere phishing-aanval die CERT-UA heeft toegeschreven aan de Russische natiestaatacteur die wordt gevolgd als APT28 (ook bekend als Fancy Bear aka Strontium).
De e-mails, getiteld “Кібератака” (wat cyberaanval in het Oekraïens betekent), doen zich voor als een beveiligingsmelding van CERT-UA en worden geleverd met een RAR-archiefbestand “UkrScanner.rar”-bijlage die, wanneer geopend, een malware genaamd CredoMap_v2 gebruikt.
“In tegenstelling tot eerdere versies van deze stealer-malware, gebruikt deze het HTTP-protocol voor data-exfiltratie,” CERT-UA dat is genoteerd. “Gestolen authenticatiegegevens worden via de HTTP POST-verzoeken naar een webbron gestuurd, geïmplementeerd op het Pipedream-platform.”
De onthullingen volgen op soortgelijke bevindingen van Microsoft’s Digital Security Unit (DSU) en Google’s Threat Analysis Group (TAG) over door de Russische staat gesponsorde hackteams die in Oekraïne inloggegevens en gegevensdiefstal plegen.
