乌克兰CERT警告市民新一波散布Jester恶意软件的攻击

乌克兰计算机应急响应小组（CERT-UA）警告称，网络钓鱼攻击会部署一个名为杰斯特偷东西在受损系统上。

这场大规模电子邮件活动的主题是“化学攻击”，并包含一个指向Microsoft Excel宏文件的链接，打开该文件会导致计算机感染Jester Stealer。

该攻击需要潜在受害者在打开文档后启用宏，其工作方式是下载并执行。从受损的web资源中检索到的EXE文件，CERT-UA详细信息。

Cyble于2022年2月记录的Jester Stealer具有窃取和传输登录凭据、cookie和信用卡信息以及来自密码管理器、聊天信使、电子邮件客户端、加密钱包和游戏应用程序的数据给攻击者的功能。每月99美元或终身访问249美元即可购买。

该机构表示：“黑客通过使用静态配置的代理地址（例如，在TOR内）通过电报获取被盗数据“。他们还使用反分析技术（反虚拟机/调试/沙盒）。该恶意软件没有持久性机制，一旦操作完成，它就会被删除。”

Jester Stealer活动与另一次网络钓鱼攻击同时发生，CERT-UA将其归因于被追踪为APT28（又名花式熊又名锶）的俄罗斯民族国家演员。

这些电子邮件标题为“Кіббрааака”（在乌克兰语中表示网络攻击），伪装成来自CERT-UA的安全通知，并附带RAR归档文件“UkrScanner.RAR”，打开后会部署一个名为CredoMap\u v2的恶意软件。

CERT-UA指出：“与此窃取者恶意软件的早期版本不同，此恶意软件使用HTTP协议进行数据过滤”。“被盗的身份验证数据将通过HTTP POST请求发送到部署在Pipedream平台上的web资源”。

此前，微软数字安全部门（DSU）和谷歌威胁分析小组（TAG）对俄罗斯国家资助的黑客在乌克兰进行凭证和数据盗窃活动进行了类似调查。