Найти тему
CISOCLUB - информационная безопасность
8304 подписчика

Украинские власти предупреждают граждан о кибератаках, распространяющих вредоносное ПО Jester

1
1 мин

Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) выпустила официальное предупреждение о фишинговых кибератаках, во время которых в скомпрометированные системы внедряется вредоносное ПО Jester Stealer, используемое для кражи учетных данных и конфиденциальной информации, сообщает портал The Hacker News.

Изображение: engin akyurt (unsplash)
Изображение: engin akyurt (unsplash)

В CERT-UA уточняют, что киберпреступники осуществляют массовую почтовую рассылку вредоносных email-писем. В содержании письма приведена ссылка на файлы MS Excel с поддержкой макросов. Если пользователь откроет файл, то его устройство мгновенно будет заражено вредоносным ПО Jester Stealer.

При открытии прикреплённого к фишинговому письму файла запускается макрос, который начинает загрузку и дальнейшее выполнение exe-файла, скачиваемого из скомпрометированных веб-сайтов, заявили в CERT-UA.

Вредоносное ПО Jester Stealer было впервые задокументировано в феврале 2022 года. Вредонос имеет функционал для кражи и дальнейшей передачи:

  • учетных данных;
  • cookie-файлов;
  • платёжных данных;
  • информации из менеджеров паролей;
  • чат-мессенджеров;
  • почтовых клиентов;
  • криптовалютных кошельков;
  • игровых приложений и т. д.

«Злоумышленники получают украденные данные через Telegram, используя статически настроенные прокси-адреса, к примеру, в рамках TOR. Киберпреступниками также применяются методы антианализа. Вредоносное ПО Jester Stealer не располагает механизмом персистентности – вредонос удаляется сразу после того, как его работа будет завершена», – подчеркнули в CERT-UA.

Фишинговые электронные письма рассылаются с названием «кибератака» (на украинском языке). Они замаскированы под официальное уведомление от CERT-UA.

«В отличие от предыдущих версий этого вредоноса, Jester Stealer использует протокол HTTP для кражи данных. Украденные данные аутентификации затем отправляются на веб-ресурс, развернутый на платформе Pipedream, посредством HTTP-запросов POST», – резюмировали в CERT-UA.

Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.