El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha detectado campañas de malspam destinadas a difundir un ladrón de información llamado Jester Stealer. Como bien sabemos, esta amenaza a estado activa y según el CERT ucraniano tienen el asunto "ataque químico" y contienen un enlace a un archivo de Microsoft Excel armado para llamar la atención.
Cabe destacar que esta amenaza viene con funciones para robar y transmitir credenciales de inicio de sesión, cookies e información de tarjetas de crédito junto con datos de administradores de contraseñas, mensajeros de chat, clientes de correo electrónico, billeteras criptográficas y aplicaciones de juegos a los atacantes.
Los datos robados se transferirán a través de Telegram utilizando direcciones proxy configuradas estáticamente. El malware utiliza técnicas antimalware para la evasión. El malware no es tan persistente, se eliminará tan pronto como se complete su operación.
La campaña Jester Stealer coincide con otro ataque de phishing que CERT-UA ha atribuido al actor del estado-nación ruso rastreado como APT28.
Esta versión de malware utiliza el protocolo HTTP para la exfiltración de datos. Los datos de autenticación robados se enviarán a un recurso web, implementado en la plataforma Pipedream, a través de solicitudes HTTP POST.
Si bien hemos visto que que esta amenaza a estado muy activa, es importante que estemos preparados para enfrentar estas amenazas.
