Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA), bilgi çalan kötü amaçlı yazılımları dağıtan kimlik avı saldırıları konusunda uyardı. soytarı hırsızı güvenliği ihlal edilmiş sistemlerde.
Toplu e-posta kampanyası “kimyasal saldırı” konu satırını taşıyor ve bilgisayarların Jester Stealer ile enfekte olmasına yol açan makro etkin bir Microsoft Excel dosyasına bir bağlantı içeriyor.
Potansiyel kurbanların belgeyi açtıktan sonra makroları etkinleştirmesini gerektiren saldırı, CERT-UA ayrıntılı olarak ele alınan, güvenliği ihlal edilmiş web kaynaklarından alınan bir .EXE dosyasını indirip çalıştırarak çalışır.
İlk olarak Şubat 2022’de Cyble tarafından belgelenen Jester Stealer, oturum açma kimlik bilgilerini, çerezleri ve kredi kartı bilgilerini çalma ve şifre yöneticilerinden, sohbet mesajlaşma programlarından, e-posta istemcilerinden, kripto cüzdanlarından ve oyun uygulamalarından gelen verileri çalma ve iletme özellikleriyle birlikte geliyor. saldırganlar
Ajans, “Bilgisayar korsanları, çalınan verileri statik olarak yapılandırılmış proxy adreslerini (örneğin, TOR içinde) kullanarak Telegram aracılığıyla alır” dedim. “Ayrıca anti-analiz teknikleri (anti-VM/debug/sandbox) kullanıyorlar. Kötü amaçlı yazılımın kalıcılık mekanizması yok – işlemi tamamlanır tamamlanmaz siliniyor.”
Jester Stealer kampanyası, CERT-UA’nın APT28 (diğer adıyla Fancy Bear, diğer adıyla Strontium) olarak izlenen Rus ulus-devlet aktörüne atfettiği başka bir kimlik avı saldırısıyla çakışıyor.
“Кібератака” (Ukraynaca’da siber saldırı anlamına gelir) başlıklı e-postalar, CERT-UA’dan gelen bir güvenlik bildirimi görünümündedir ve açıldığında CredoMap_v2 adlı bir kötü amaçlı yazılım dağıtan bir RAR arşiv dosyası “UkrScanner.rar” ekiyle birlikte gelir.
CERT-UA “Bu kötü amaçlı yazılımın önceki sürümlerinden farklı olarak, bu, veri hırsızlığı için HTTP protokolünü kullanır” not alınmış. “Çalınan kimlik doğrulama verileri, HTTP POST istekleri aracılığıyla Pipedream platformunda dağıtılan bir web kaynağına gönderilecek.”
Açıklamalar, Microsoft’un Dijital Güvenlik Birimi (DSU) ve Google’ın Tehdit Analizi Grubu’nun (TAG) Ukrayna’da kimlik bilgileri ve veri hırsızlığı operasyonları yürüten Rus devlet destekli bilgisayar korsanlığı ekipleriyle ilgili benzer bulguları takip ediyor.