L’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) a mis en garde contre les attaques de phishing qui déploient un logiciel malveillant voleur d’informations appelé Voleur de bouffon sur les systèmes compromis.
La campagne d’e-mails de masse porte la ligne d’objet « attaque chimique » et contient un lien vers un fichier Microsoft Excel compatible avec les macros, s’ouvrant ce qui conduit à l’infection des ordinateurs par Jester Stealer.
L’attaque, qui oblige les victimes potentielles à activer les macros après l’ouverture du document, fonctionne en téléchargeant et en exécutant un fichier .EXE récupéré à partir de ressources Web compromises, détaille CERT-UA.
Jester Stealer, qui a été documenté pour la première fois par Cyble en février 2022, est livré avec des fonctionnalités pour voler et transmettre les identifiants de connexion, les cookies et les informations de carte de crédit ainsi que les données des gestionnaires de mots de passe, des messagers de chat, des clients de messagerie, des portefeuilles cryptographiques et des applications de jeu au attaquants.
« Les pirates obtiennent les données volées via Telegram en utilisant des adresses proxy configurées de manière statique (par exemple, dans TOR) », a déclaré l’agence. mentionné. « Ils utilisent également des techniques d’anti-analyse (anti-VM/debug/sandbox). Le malware n’a pas de mécanisme de persistance — il est supprimé dès que son opération est terminée. »
La campagne Jester Stealer coïncide avec une autre attaque de phishing que le CERT-UA a attribuée à l’acteur d’État-nation russe suivi sous le nom d’APT28 (alias Fancy Bear alias Strontium).
Les e-mails, intitulés « Кібератака » (ce qui signifie cyberattaque en ukrainien), se font passer pour une notification de sécurité du CERT-UA et sont accompagnés d’un fichier d’archive RAR « UkrScanner.rar » en pièce jointe qui, lorsqu’il est ouvert, déploie un logiciel malveillant appelé CredoMap_v2.
« Contrairement aux versions précédentes de ce malware voleur, celui-ci utilise le protocole HTTP pour l’exfiltration de données », CERT-UA c’est noté. « Les données d’authentification volées seront envoyées à une ressource Web, déployée sur la plate-forme Pipedream, via les requêtes HTTP POST. »
Les révélations font suite à des conclusions similaires de l’unité de sécurité numérique (DSU) de Microsoft et du groupe d’analyse des menaces (TAG) de Google concernant des équipes de piratage parrainées par l’État russe effectuant des opérations de vol d’informations d’identification et de données en Ukraine.