Команда реагування на комп’ютерні надзвичайні ситуації України (CERT-UA) попередила про фішингові атаки, які розгортають зловмисне програмне забезпечення для крадіжки інформації під назвою Jester Stealer на зламаних системах.

Нова кібератака полягає у масовій e-mail розсилці з темою листа, яка містить словосполучення «хімічна атака» та посилання на файл Microsoft Excel з підтримкою макросів, відкриття якого призводить до зараження комп’ютерів Jester Stealer.

Атака, яка вимагає від потенційних жертв увімкнути макроси після відкриття документа, працює шляхом завантаження та виконання файлу .EXE, який витягується із зламаних веб-ресурсів, – пояснюють у CERT-UA.

Jester Stealer, який вперше був задокументований Cyble в лютому 2022 року, має функції для крадіжки та передачі облікових даних для входу, файлів cookie та інформації про кредитні картки, а також даних з менеджерів паролів, чат-месенджерів, поштових клієнтів, крипто-гаманців та ігрових додатків.

«Хакери отримують викрадені дані через Telegram за допомогою статично налаштованих проксі-адрес (наприклад, у межах TOR)», – йдеться в повідомленні . «Вони також використовують методи антианалізу (анти-ВМ/налагодження/пісочниця). Шкідливе програмне забезпечення не має механізму збереження — воно видаляється, як тільки його робота завершується».

Кампанія Jester Stealer збігається з іншою фішинг-атакою, яку CERT-UA приписує російським державним хакерам, відомим як APT28 (або Fancy Bear, або Strontium).

Листи під назвою «Кібератака» маскуються під сповіщення безпеки від CERT-UA і ​​мають вкладений файл RAR-архіву «UkrScanner.rar», який при відкритті розгортає шкідливе програмне забезпечення під назвою CredoMap_v2.

«На відміну від попередніх версій цього зловмисного програмного забезпечення, ця використовує протокол HTTP для ексфільтрації даних», – зазначає CERT-UA . «Викрадені дані аутентифікації будуть надіслані на веб-ресурс, розгорнутий на платформі Pipedream, через HTTP-запити POST».

Розкриття інформації ґрунтується на подібних висновках відділу цифрової безпеки (DSU) Microsoft і групи аналізу загроз (TAG) Google про фінансовані державою російські хакерські команди, які здійснюють операції з крадіжки облікових даних та даних в Україні.