El Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) advirti\u00f3 sobre ataques de phishing que implementan un malware para robar informaci\u00f3n llamado Ladr\u00f3n de bufones<\/b> en sistemas comprometidos.<\/p>\n
La campa\u00f1a de correo electr\u00f3nico masivo lleva el asunto “ataque qu\u00edmico” y contiene un enlace a un archivo de Microsoft Excel habilitado para macros, que se abre y conduce a que las computadoras se infecten con Jester Stealer.<\/p>\n
El ataque, que requiere que las v\u00edctimas potenciales habiliten las macros despu\u00e9s de abrir el documento, funciona descargando y ejecutando un archivo .EXE que se recupera de los recursos web comprometidos, detall\u00f3 CERT-UA.<\/p>\n
Jester Stealer, que Cyble document\u00f3 por primera vez en febrero de 2022, viene con funciones para robar y transmitir credenciales de inicio de sesi\u00f3n, cookies e informaci\u00f3n de tarjetas de cr\u00e9dito junto con datos de administradores de contrase\u00f1as, mensajeros de chat, clientes de correo electr\u00f3nico, billeteras criptogr\u00e1ficas y aplicaciones de juegos al atacantes<\/p>\n
“Los piratas inform\u00e1ticos obtienen los datos robados a trav\u00e9s de Telegram utilizando direcciones proxy configuradas est\u00e1ticamente (por ejemplo, dentro de TOR)”, dijo la agencia. dicho<\/a>. “Tambi\u00e9n usan t\u00e9cnicas anti-an\u00e1lisis (anti-VM\/debug\/sandbox). El malware no tiene un mecanismo de persistencia: se elimina tan pronto como se completa su operaci\u00f3n”.<\/p>\n La campa\u00f1a Jester Stealer coincide con otro ataque de phishing que CERT-UA ha atribuido al actor del estado-naci\u00f3n ruso rastreado como APT28 (tambi\u00e9n conocido como Fancy Bear o Strontium).<\/p>\n Los correos electr\u00f3nicos, titulados “\u041a\u0456\u0431\u0435\u0440\u0430\u0442\u0430\u043a\u0430” (que significa ciberataque en ucraniano), se hacen pasar por una notificaci\u00f3n de seguridad de CERT-UA y vienen con un archivo RAR adjunto “UkrScanner.rar” que, cuando se abre, despliega un malware llamado CredoMap_v2.<\/p>\n “A diferencia de las versiones anteriores de este malware ladr\u00f3n, este usa el protocolo HTTP para la exfiltraci\u00f3n de datos”, CERT-UA anotado<\/a>. “Los datos de autenticaci\u00f3n robados se enviar\u00e1n a un recurso web, implementado en la plataforma Pipedream, a trav\u00e9s de solicitudes HTTP POST”.<\/p>\n Las revelaciones siguen hallazgos similares de la Unidad de Seguridad Digital (DSU) de Microsoft y el Grupo de An\u00e1lisis de Amenazas (TAG) de Google sobre equipos de pirater\u00eda patrocinados por el estado ruso que llevan a cabo operaciones de robo de datos y credenciales en Ucrania.<\/p>\n <\/p>\n<\/div>\n