Урядова команда реагування на компʼютерні надзвичайні події України CERT-UA виявила небезпечні листи, які розповсюджуються з тематикою «хімічної атаки» та посиланням на XLS-документ з макросом.
- У чатбота єВорог зʼявилися копії: як не потрапити на фейк?
- Група APT28 здійснює кібератаки із застосуванням шкідливої програми CredoMap_v2
- США обіцяють до 15 млн доларів за інформацію про хакерів Conti з росії
У разі відкриття документу та активації макросу, останній здійснить завантаження і запуск EXE-файлу. Це, в подальшому, призведе до ураження компʼютера шкідливою програмою JesterStealer. Зауважимо, що завантаження виконуваних файлів здійснюється зі скомпрометованих веб-ресурсів.
За функціональністю згадана програма є стілером (викрадачем), що забезпечує викрадення автентифікаційних та інших даних з інтернет-браузерів, MAIL/FTP/VPN-клієнтів, криптовалютних гаманців, менеджерів паролів, месенджерів, ігрових програм тощо. Викрадені дані через статично визначені адреси проксі (в т.ч., в мережі TOR) передаються зловмиснику в Telegram. Також, реалізовано функціональність протидії аналізу (anti-VM/debug/sandbox). Механізм забезпечення персистентності відсутній. Після завершення роботи програма видаляється. Активність тимчасово відстежується за ідентифікатором UAC-0104.