Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Украинская CERT предупреждает о новой волне атак, распространяющих вредоносное ПО Jester Stealer (http://txgate.io:443/showthread.php?t=12479)

Artifact 02-09-2025 10:35 AM

Массовую рассылку электронных писем с темой "химическая атака" распространяет Jester Stealer.
https://www.securitylab.ru/upload/ib...541bc71acc.jpg
Украинская группа быстрого реагирования на компьютерные инциденты (CERT-UA) выявила массовую рассылку электронных писем с темой "химическая атака" и ссылкой на XLS-документ с макросом.
При открытии документа активируется макрос, который загрузит и запустит EXE-файл, что в дальнейшем приведет к заражению компьютера вредоносной программой Jester Stealer. Также эксперты обратили внимание на источники исполняемых файлов – скомпрометированные веб-ресурсы.
Jester Stealer, впервые обнаруженный Cyble в феврале 2022 года, оснащен функциями для кражи и передачи злоумышленникам учетных данных, cookie-файлов и информации о кредитных картах, а также данных из менеджеров паролей, чат-мессенджеров, почтовых клиентов, криптовалютных кошельков и игровых приложений.
https://www.securitylab.ru/upload/me...c6549b78d7.png
Скриншоты Jester Stealer.
Похищенные данные по статичеcким адресам прокси (в т.ч., в сети TOR) передаются злоумышленнику в Telegram. Также реализован функционал противодействия анализу (anti-VM/debug/sandbox). Механизм обеспечения персистентности отсутствует – после завершения работы программа удаляется.
Кампания Jester Stealer совпадает с фишинговой атакой CredoMap_v2 , которую CERT-UA приписывает российской хакерской группировке APT28 (она же Fancy Bear или Strontium).
https://www.securitylab.ru/upload/me...46ca563636.png
Скриншоты CredoMap_v2.
Письма с темой "Кибератака" маскируются под уведомление о безопасности от CERT-UA и прикрепляют RAR-архив "UkrScanner.rar". Архив содержит одноименный SFX-файл, содержащий вредоносную программу CredoMap_v2. Отличие этой версии стиллера от предыдущих заключается в использовании протокола HTTP для эксфильтрации данных. С помощью HTTP POST-запросов похищенные аутентификационные данные отправляются на веб-ресурс, развернутый на платформе Pipedream.
Заявления о причастности российских хакеров к атаке последовали за аналогичными выводами подразделения Digital Security Unit (DSU) компании Microsoft и Threat Analysis Group (TAG) компании Google о российских хакерских группировках, осуществляющих операции по краже данных на Украине.
Недавно мы писали про масштабную фишинговую атаку другой российской группировки APT29. Хакеры атаковали дипломатов, правительственные организации, выполняли разведку узлов и среды активных каталогов.


All times are GMT. The time now is 11:14 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.