El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) advirtió sobre ataques de phishing que implementan un malware para robar información llamado Ladrón de bufones en sistemas comprometidos.
La campaña de correo electrónico masivo lleva el asunto «ataque químico» y contiene un enlace a un archivo de Microsoft Excel habilitado para macros, que se abre y conduce a que las computadoras se infecten con Jester Stealer.
El ataque, que requiere que las víctimas potenciales habiliten las macros después de abrir el documento, funciona descargando y ejecutando un archivo .EXE que se recupera de los recursos web comprometidos, detalló CERT-UA.
Jester Stealer, que Cyble documentó por primera vez en febrero de 2022, viene con funciones para robar y transmitir credenciales de inicio de sesión, cookies e información de tarjetas de crédito junto con datos de administradores de contraseñas, mensajeros de chat, clientes de correo electrónico, billeteras criptográficas y aplicaciones de juegos al atacantes
«Los piratas informáticos obtienen los datos robados a través de Telegram utilizando direcciones proxy configuradas estáticamente (por ejemplo, dentro de TOR)», dijo la agencia. dicho. «También usan técnicas anti-análisis (anti-VM/debug/sandbox). El malware no tiene un mecanismo de persistencia: se elimina tan pronto como se completa su operación».
La campaña Jester Stealer coincide con otro ataque de phishing que CERT-UA ha atribuido al actor del estado-nación ruso rastreado como APT28 (también conocido como Fancy Bear o Strontium).
Los correos electrónicos, titulados «Кібератака» (que significa ciberataque en ucraniano), se hacen pasar por una notificación de seguridad de CERT-UA y vienen con un archivo RAR adjunto «UkrScanner.rar» que, cuando se abre, despliega un malware llamado CredoMap_v2.
«A diferencia de las versiones anteriores de este malware ladrón, este usa el protocolo HTTP para la exfiltración de datos», CERT-UA anotado. «Los datos de autenticación robados se enviarán a un recurso web, implementado en la plataforma Pipedream, a través de solicitudes HTTP POST».
Las revelaciones siguen hallazgos similares de la Unidad de Seguridad Digital (DSU) de Microsoft y el Grupo de Análisis de Amenazas (TAG) de Google sobre equipos de piratería patrocinados por el estado ruso que llevan a cabo operaciones de robo de datos y credenciales en Ucrania.