El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) advirtió sobre ataques de phishing que implementan un malware para robar información llamado Ladrón de bufones en sistemas comprometidos.
La campaña de correo electrónico masivo lleva el asunto “ataque químico” y contiene un enlace a un archivo de Microsoft Excel habilitado para macros, que se abre y conduce a que las computadoras se infecten con Jester Stealer.
El ataque, que requiere que las víctimas potenciales habiliten las macros después de abrir el documento, funciona descargando y ejecutando un archivo .EXE que se recupera de los recursos web comprometidos, detalló CERT-UA.
Jester Stealer, que Cyble documentó por primera vez en febrero de 2022, viene con funciones para robar y transmitir credenciales de inicio de sesión, cookies e información de tarjetas de crédito junto con datos de administradores de contraseñas, mensajeros de chat, clientes de correo electrónico, billeteras criptográficas y aplicaciones de juegos al atacantes
“Los piratas informáticos obtienen los datos robados a través de Telegram utilizando direcciones proxy configuradas estáticamente (por ejemplo, dentro de TOR)”, dijo la agencia. dicho. “También usan técnicas anti-análisis (anti-VM/debug/sandbox). El malware no tiene un mecanismo de persistencia: se elimina tan pronto como se completa su operación”.
La campaña Jester Stealer coincide con otro ataque de phishing que CERT-UA ha atribuido al actor del estado-nación ruso rastreado como APT28 (también conocido como Fancy Bear o Strontium).
Los correos electrónicos, titulados “Кібератака” (que significa ciberataque en ucraniano), se hacen pasar por una notificación de seguridad de CERT-UA y vienen con un archivo RAR adjunto “UkrScanner.rar” que, cuando se abre, despliega un malware llamado CredoMap_v2.
“A diferencia de las versiones anteriores de este malware ladrón, este usa el protocolo HTTP para la exfiltración de datos”, CERT-UA anotado. “Los datos de autenticación robados se enviarán a un recurso web, implementado en la plataforma Pipedream, a través de solicitudes HTTP POST”.
Las revelaciones siguen hallazgos similares de la Unidad de Seguridad Digital (DSU) de Microsoft y el Grupo de Análisis de Amenazas (TAG) de Google sobre equipos de piratería patrocinados por el estado ruso que llevan a cabo operaciones de robo de datos y credenciales en Ucrania.