Tim Tanggap Darurat Komputer Ukraina (CERT-UA) telah memperingatkan serangan phishing yang menyebarkan malware pencuri informasi yang disebut Pencuri Jester pada sistem yang dikompromikan.
Kampanye email massal membawa baris subjek “serangan kimia” dan berisi tautan ke file Microsoft Excel yang diaktifkan makro, pembukaan yang menyebabkan komputer terinfeksi Jester Stealer.
Serangan tersebut, yang membutuhkan calon korban untuk mengaktifkan makro setelah membuka dokumen, bekerja dengan mengunduh dan mengeksekusi file .EXE yang diambil dari sumber daya web yang disusupi, urai CERT-UA.
Jester Stealer, yang pertama kali didokumentasikan oleh Cyble pada Februari 2022, hadir dengan fitur untuk mencuri dan mengirimkan kredensial login, cookie, dan informasi kartu kredit bersama dengan data dari pengelola kata sandi, pengirim pesan obrolan, klien email, dompet kripto, dan aplikasi game ke penyerang.
“Para peretas mendapatkan data yang dicuri melalui Telegram menggunakan alamat proxy yang dikonfigurasi secara statis (misalnya, dalam TOR),” kata agensi tersebut. “Mereka juga menggunakan teknik anti-analisis (anti-VM/debug/sandbox). Malware ini tidak memiliki mekanisme persistensi — malware tersebut akan dihapus segera setelah operasinya selesai.”
Kampanye Jester Stealer bertepatan dengan serangan phishing lain yang dikaitkan CERT-UA dengan aktor negara-bangsa Rusia yang dilacak sebagai APT28 (alias Fancy Bear alias Strontium).
Email tersebut, berjudul “Кібератака” (artinya serangan siber dalam bahasa Ukraina), menyamar sebagai pemberitahuan keamanan dari CERT-UA dan disertai dengan lampiran file arsip RAR “UkrScanner.rar” yang, ketika dibuka, menyebarkan malware bernama CredoMap_v2.
“Tidak seperti versi sebelumnya dari malware pencuri ini, yang ini menggunakan protokol HTTP untuk eksfiltrasi data,” catat CERT-UA. “Data otentikasi yang dicuri akan dikirim ke sumber daya web, disebarkan pada platform Pipedream, melalui permintaan HTTP POST.”
Pengungkapan ini mengikuti temuan serupa dari Unit Keamanan Digital (DSU) Microsoft dan Grup Analisis Ancaman Google (TAG) tentang kru peretasan yang disponsori negara Rusia yang melakukan operasi pencurian data dan kredensial di Ukraina.