最近,乌克兰计算机应急响应小组(CERT-UA)检测到一个旨在传播名为JesterStealer的信息窃取者的恶意垃圾邮件活动。据调查,乌克兰CERT发现的恶意邮件主题为“化学攻击”,邮件中包含带有恶意链接的MicrosoftExcel文件。当用户打开Office文档并激活嵌入的宏时,整个感染过程就开始了。经过政府专家的调查,发现恶意可执行文件是从受感染的网络资源中下载的。对此,乌克兰计算机应急响应小组及时发布了相应公告。公告称:政府应对乌克兰计算机突发事件的团队CERT-UA披露了大量以“化学攻击”为主题的电子邮件,并指向带有宏的XLS文件。链接上的恶意活动。如果您打开该文档并激活宏,下载并运行该EXE文件,将会激活恶意程序JesterStealer并对您的计算机造成一定的损害。根据研究,JesterStealer能够从互联网浏览器、MAIL/FTP/VPN客户端、加密货币钱包、密码管理器、邮件、游戏程序等窃取凭证和身份验证令牌。信息窃取恶意软件实现了反分析功能(anti-VM/调试/沙盒),但它没有实现任何持久性机制。威胁行为者使用静态配置的代理地址通过Telegram泄露数据。从已发布的公告来看,通过静态定义的代理地址(包括在TOR网络中)窃取的数据已通过Telegram传输给攻击者。
