L’\u00e9quipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) a mis en garde contre les attaques de phishing qui d\u00e9ploient un logiciel malveillant voleur d’informations appel\u00e9 Voleur de bouffon<\/b> sur les syst\u00e8mes compromis.<\/p>\n
La campagne d’e-mails de masse porte la ligne d’objet “attaque chimique” et contient un lien vers un fichier Microsoft Excel compatible avec les macros, s’ouvrant ce qui conduit \u00e0 l’infection des ordinateurs par Jester Stealer.<\/p>\n
L’attaque, qui oblige les victimes potentielles \u00e0 activer les macros apr\u00e8s l’ouverture du document, fonctionne en t\u00e9l\u00e9chargeant et en ex\u00e9cutant un fichier .EXE r\u00e9cup\u00e9r\u00e9 \u00e0 partir de ressources Web compromises, d\u00e9taille CERT-UA.<\/p>\n
Jester Stealer, qui a \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois par Cyble en f\u00e9vrier 2022, est livr\u00e9 avec des fonctionnalit\u00e9s pour voler et transmettre les identifiants de connexion, les cookies et les informations de carte de cr\u00e9dit ainsi que les donn\u00e9es des gestionnaires de mots de passe, des messagers de chat, des clients de messagerie, des portefeuilles cryptographiques et des applications de jeu au attaquants.<\/p>\n
“Les pirates obtiennent les donn\u00e9es vol\u00e9es via Telegram en utilisant des adresses proxy configur\u00e9es de mani\u00e8re statique (par exemple, dans TOR)”, a d\u00e9clar\u00e9 l’agence. mentionn\u00e9<\/a>. “Ils utilisent \u00e9galement des techniques d’anti-analyse (anti-VM\/debug\/sandbox). Le malware n’a pas de m\u00e9canisme de persistance \u2014 il est supprim\u00e9 d\u00e8s que son op\u00e9ration est termin\u00e9e.”<\/p>\n La campagne Jester Stealer co\u00efncide avec une autre attaque de phishing que le CERT-UA a attribu\u00e9e \u00e0 l’acteur d’\u00c9tat-nation russe suivi sous le nom d’APT28 (alias Fancy Bear alias Strontium).<\/p>\n Les e-mails, intitul\u00e9s “\u041a\u0456\u0431\u0435\u0440\u0430\u0442\u0430\u043a\u0430” (ce qui signifie cyberattaque en ukrainien), se font passer pour une notification de s\u00e9curit\u00e9 du CERT-UA et sont accompagn\u00e9s d’un fichier d’archive RAR “UkrScanner.rar” en pi\u00e8ce jointe qui, lorsqu’il est ouvert, d\u00e9ploie un logiciel malveillant appel\u00e9 CredoMap_v2.<\/p>\n “Contrairement aux versions pr\u00e9c\u00e9dentes de ce malware voleur, celui-ci utilise le protocole HTTP pour l’exfiltration de donn\u00e9es”, CERT-UA c’est not\u00e9<\/a>. “Les donn\u00e9es d’authentification vol\u00e9es seront envoy\u00e9es \u00e0 une ressource Web, d\u00e9ploy\u00e9e sur la plate-forme Pipedream, via les requ\u00eates HTTP POST.”<\/p>\n Les r\u00e9v\u00e9lations font suite \u00e0 des conclusions similaires de l’unit\u00e9 de s\u00e9curit\u00e9 num\u00e9rique (DSU) de Microsoft et du groupe d’analyse des menaces (TAG) de Google concernant des \u00e9quipes de piratage parrain\u00e9es par l’\u00c9tat russe effectuant des op\u00e9rations de vol d’informations d’identification et de donn\u00e9es en Ukraine.<\/p>\n <\/p>\n<\/div>\n