Το Computer Emergency Response Team (CERT-UA) της Ουκρανίας προειδοποιεί για phishing email που διανέμουν το Jester Stealer malware και προσπαθούν να κάνουν τους χρήστες να ανοίξουν τα κακόβουλα συνημμένα, προειδοποιώντας τους για επικείμενες χημικές επιθέσεις.
Καθώς ο πόλεμος μεταξύ Ρωσίας και Ουκρανίας συνεχίζεται, πολλοί φοβούνται ότι τα πράγματα μπορεί να γίνουν χειρότερα.
Δείτε επίσης: Microsoft: Επιδιορθώσεις για ελάττωμα στο Azure που επιτρέπει επιθέσεις RCE
Οι Ουκρανοί ζουν κάτω από αυτόν τον φόβο και οι εγκληματίες του κυβερνοχώρου το εκμεταλλεύονται. Έτσι στέλνουν phishing email με προειδοποιήσεις για χημικές επιθέσεις, για να τραβήξουν την προσοχή των θυμάτων και να αυξήσουν τις πιθανότητες να ανοίξουν τα κακόβουλα συνημμένα που οδηγούν σε μόλυνση των συστημάτων με το Jester Stealer malware.
Το phishing email ανέφερε (μεταφρασμένο κείμενο):
“Σήμερα ελήφθη η πληροφορία ότι θα χρησιμοποιηθούν χημικά όπλα στη 01.00 το βράδυ, οι αρχές προσπαθούν να το κρύψουν για να μην πανικοβληθεί ο πληθυσμός. Ενημερωθείτε επειγόντως για τους χώρους όπου θα χρησιμοποιηθούν χημικά όπλα και τους χώρους ειδικών καταφυγίων όπου θα είμαστε ασφαλείς.
Βοηθήστε μας να διαδώσουμε όσο το δυνατόν περισσότερο τις πληροφορίες που επισυνάπτονται στο έγγραφο.
Πρέπει να σώσουμε όσο το δυνατόν περισσότερες ζωές!”.
Δείτε επίσης: Μια επίθεση ransomware και η πανδημία του COVID-19 κλείνουν το Lincoln College
Στο τέλος του phishing email με την προειδοποίηση για τις χημικές επιθέσεις, υπάρχουν συνημμένα έγγραφα XLS με κακόβουλες μακροεντολές. Εάν ο παραλήπτης ανοίξει το αρχείο και ενεργοποιήσει τις μακροεντολές, θα γίνει λήψη ενός EXE payload από μια απομακρυσμένη πηγή και μετά θα γίνει εκτέλεση στον υπολογιστή.
Σύμφωνα με το CERT-UA, τα εκτελέσιμα αρχεία λαμβάνονται από παραβιασμένους ιστότοπους και όχι απευθείας από υποδομή που ελέγχεται από τους επιτιθέμενους.
Σύμφωνα με τους ειδικούς, το payload που εκτελείται στο σύστημα του θύματος είναι το Jester Stealer malware, το οποίο κλέβει πληροφορίες και είναι αρκετά δημοφιλές το τελευταίο διάστημα χάρη στις εκτεταμένες δυνατότητές του.
Το Jester Stealer μπορεί να κλέψει δεδομένα που είναι αποθηκευμένα σε προγράμματα περιήγησης, όπως κωδικούς πρόσβασης λογαριασμών, μηνύματα σε email clients, συζητήσεις σε εφαρμογές συνομιλίας και στοιχεία από cryptocurrency wallet. Στη συνέχεια, τα κλεμμένα δεδομένα μεταφορτώνονται σε έναν απομακρυσμένο διακομιστή και συλλέγονται από τους επιτιθέμενους. Οι εγκληματίες του κυβερνοχώρου μπορούν να πουλήσουν αυτά τα δεδομένα σε άλλους κακόβουλους χρήστες ή να τα χρησιμοποιήσουν για άλλες επιθέσεις.
Δείτε επίσης: DCRat: Αυτό το φθηνό malware είναι εκπληκτικά αποτελεσματικό
Σύμφωνα με το CERT-UA, οι χειριστές του Jester Stealer malware έχουν φροντίσει να δυσκολεύουν την ανάλυση του κακόβουλου λογισμικού σε εικονικές μηχανές.
Ωστόσο, φαίνεται να μην υπάρχει μηχανισμός persistence. Επομένως εάν το πρόγραμμα κλείσει και διαγραφεί, δεν θα ξεκινήσει ξανά.
Προς το παρόν, η Ουκρανία δεν έχει συνδέσει τα phishing email με κάποια συγκεκριμένη ομάδα.
Πηγή: www.bleepingcomputer.com