Das Computer Emergency Response Team der Ukraine (CERT-UA) hat vor Phishing-Angriffen gewarnt, bei denen eine Malware namens Jester Stealer auf kompromittierten Systemen eingesetzt wird, um Informationen zu stehlen.
Die Massen-E-Mail-Kampagne trägt die Betreffzeile „Chemischer Angriff“ und enthält einen Link zu einer makroaktivierten Microsoft Excel-Datei, deren Öffnen dazu führt, dass Computer mit Jester Stealer infiziert werden.
Der Angriff, bei dem die potenziellen Opfer nach dem Öffnen des Dokuments Makros aktivieren müssen, funktioniert durch das Herunterladen und Ausführen einer EXE-Datei, die von kompromittierten Webressourcen abgerufen wird, so CERT-UA.
Der Jester Stealer, der erstmals im Februar 2022 von Cyble dokumentiert wurde, verfügt über Funktionen, mit denen er Anmeldedaten, Cookies und Kreditkarteninformationen sowie Daten von Passwortmanagern, Chat-Messengern, E-Mail-Clients, Krypto-Wallets und Spiele-Apps stehlen und an die Angreifer übertragen kann.
„Die Hacker erhalten die gestohlenen Daten über Telegram, indem sie statisch konfigurierte Proxy-Adressen (z.B. innerhalb von TOR) verwenden“, so die Agentur. „Sie nutzen auch Anti-Analyse-Techniken (Anti-VM/Debug/Sandbox). Die Malware hat keinen Persistenz-Mechanismus – sie wird gelöscht, sobald ihre Operation abgeschlossen ist.“
Die Jester Stealer-Kampagne fällt mit einer anderen Phishing-Attacke zusammen, die das CERT-UA dem russischen Nationalstaat APT28 (auch bekannt als Fancy Bear oder Strontium) zuschreibt.
Die Mails mit dem Titel „Кібератака“ (was auf Ukrainisch „Cyberangriff“ bedeutet), geben sich als Sicherheitsmeldung des CERT-UA aus und enthalten im Anhang die RAR-Archivdatei „UkrScanner.rar“, die beim Öffnen eine Malware namens CredoMap_v2 auslöst.
„Im Gegensatz zu früheren Versionen dieser Stealer-Malware verwendet diese das HTTP-Protokoll für die Datenexfiltration“, so CERT-UA. „Die gestohlenen Authentifizierungsdaten werden über HTTP-POST-Anfragen an eine Webressource gesendet, die auf der Pipedream-Plattform bereitgestellt wird.
Die Enthüllungen folgen ähnlichen Erkenntnissen der Digital Security Unit (DSU) von Microsoft und der Threat Analysis Group (TAG) von Google über russische staatlich gesponserte Hackergruppen, die in der Ukraine Anmeldedaten und Daten stehlen.