Il team del governo Ucraina CERT-UA ha rivelato il una distribuzione di massa di e-mail a tema “attacco chimico” con un collegamento a un documento XLS con una macro.
Se apri il documento e attivi la macro, quest’ultima scaricherà ed eseguirà il file EXE, che in seguito danneggerà il computer con il programma dannoso JesterStealer e i file eseguibili vengono scaricati da risorse Web compromesse.
Funzionalmente, il programma è uno stealer che ruba l’autenticazione e altri dati da browser Internet, client MAIL/FTP/VPN, portafogli di criptovaluta, gestori di password, messenger, programmi di gioco e altro ancora. I dati rubati tramite indirizzi proxy definiti staticamente (incluso nella rete TOR) vengono trasmessi all’attaccante via Telegram. Inoltre è stata implementata la funzionalità anti-analisi (anti-VM/debug/sandbox).
Non esiste un meccanismo per garantire la resistenza: dopo la chiusura il programma viene rimosso.
