Das ukrainische CERT warnt die Bürger vor einer neuen Angriffswelle, bei der Jester Malware verbreitet wird
11. Mai 2022Das ukrainische CERT warnt die Bürger vor einer neuen Angriffswelle, bei der Jester Malware verbreitet wird
Kiew, 11.5.2022
Das ukrainische Computer Emergency Response Team (CERT-UA) hat vor Phishing-Angriffen gewarnt, bei denen eine Malware namens Jester Stealer auf kompromittierten Systemen eingesetzt wird, um Informationen zu stehlen.
Die Massen-E-Mail-Kampagne trägt die Betreffzeile „Chemischer Angriff“ und enthält einen Link zu einer mit Makros versehenen Microsoft Excel-Datei, deren Öffnen dazu führt, dass Computer mit Jester Stealer infiziert werden.
Der Angriff, bei dem potenzielle Opfer nach dem Öffnen des Dokuments Makros aktivieren müssen, funktioniert durch das Herunterladen und Ausführen einer EXE-Datei, die von kompromittierten Webressourcen abgerufen wird, so CERT-UA.
Der von Cyble im Februar 2022 dokumentierte Jester Stealer verfügt über Funktionen zum Diebstahl und zur Übermittlung von Anmeldedaten, Cookies und Kreditkarteninformationen sowie von Daten aus Passwortmanagern, Chat-Messengern, E-Mail-Clients, Krypto-Wallets und Spiele-Apps an die Angreifer. Es kann für 99 Dollar pro Monat oder 249 Dollar für einen lebenslangen Zugang erworben werden.
„Die Hacker erhalten die gestohlenen Daten über Telegram unter Verwendung statisch konfigurierter Proxy-Adressen (z. B. innerhalb von TOR)“, so die Agentur. „Sie verwenden auch Anti-Analyse-Techniken (Anti-VM/Debug/Sandbox). Die Malware verfügt über keinen Persistenzmechanismus – sie wird gelöscht, sobald ihre Operation abgeschlossen ist.
Die Jester Stealer-Kampagne fällt mit einem weiteren Phishing-Angriff zusammen, den das CERT-UA dem russischen Nationalstaat APT28 (auch bekannt als Fancy Bear oder Strontium) zurechnet.
Die E-Mails mit dem Titel „Кібератака“ (was auf Ukrainisch „Cyberangriff“ bedeutet) geben sich als Sicherheitsmitteilung von CERT-UA aus und enthalten im Anhang eine RAR-Archivdatei „UkrScanner.rar“, die beim Öffnen eine Malware namens CredoMap_v2 installiert.
„Im Gegensatz zu früheren Versionen dieser Stealer-Malware verwendet diese das HTTP-Protokoll für die Datenexfiltration“, so CERT-UA. „Gestohlene Authentifizierungsdaten werden über HTTP-POST-Anfragen an eine Web-Ressource gesendet, die auf der Pipedream-Plattform bereitgestellt wird.“
Die Enthüllungen folgen ähnlichen Erkenntnissen der Digital Security Unit (DSU) von Microsoft und der Threat Analysis Group (TAG) von Google über russische staatlich gesponserte Hacker, die in der Ukraine Operationen zum Diebstahl von Anmeldedaten und Daten durchführen.
