Il CERT-UA (Computer Emergency Response Team Ucraina) nei giorni scorsi ha avvertito di una serie di attacchi di phishing che starebbero distribuendo malware specializzati nel furto di informazioni.
Jester Stealer tramite macro Excel
Una delle campagne di posta elettronica massiva segnalata distribuirebbe messaggi (scritti in ucraino) con oggetto “attacco chimico” contenenti link che scaricano un file Microsoft Excel .xlsb (ovvero un file di cartella di lavoro binaria di Excel, Map026.xlsb) con macro incorporata, la cui apertura abilitando anche l’esecuzione della macro avvierebbe la catena d’infezione del malware Jester Stealer, scaricando ed eseguendo un file .EXE recuperato da risorse web precedentemente compromesse.
Il testo del messaggio farebbe riferimento alla necessità di diffondere il più possibile le informazioni allegate relative ad una mappa della zone di rischio chimico.
Jester Stealer, documentato per la prima volta dai ricercatori Cyble a inizio anno, è noto essere dotato di diverse funzionalità per rubare dati da browser Internet, client MAIL/FTP/VPN, portafogli di criptovaluta, gestori di password, messenger e altro ancora.
Si legge inoltre nel comunicato dell’Agenzia ucraina che le analisi condotte avrebbero evidenziato che “i dati rubati tramite indirizzi proxy definiti staticamente (inclusi nella rete TOR) vengono trasmessi all’attaccante via Telegram. Inoltre è stata implementata la funzionalità anti-analisi (anti-VM/debug/sandbox). Non esiste un meccanismo per garantire la resistenza: dopo la chiusura il programma viene rimosso.”
Al momento gli attori delle minacce responsabili di questa campagna non sarebbero noti.
L’altra campagna malspam
La campagna Jester Stealer coinciderebbe con un altro attacco malspam diffuso che il CERT-UA avrebbe attribuito alla gang nation-state russa nota con il nome APT28 (gruppo riconosciuto anche con diversi altri alias: Fancy Bear, Sofacy Group, STRONTIUM, Sednit, Pawn Storm e Tsar Team).
In questo caso le e-mail, aventi per oggetto “attacco informatico” (Кібератака), si maschererebbero come una notifica di sicurezza proveniente dallo stesso CERT consegnando un file di archivio protetto da password “UkrScanner.rar” come allegato che, una volta aperto, distribuirebbe il malware CredoMap_v2 tramite un file SFX (UkrScanner.exe) .
“La differenza tra questa versione del malware e la precedente“, fa sapere il CERT-UA in un altro comunicato, “è che utilizza il protocollo HTTP per filtrare i dati. Con l’aiuto delle richieste HTTP POST, i dati di autenticazione rubati vengono inviati a una risorsa Web distribuita sulla piattaforma Pipedream“.
Consigli di mitigazione
Anche se le campagne in atto sembrerebbero interessare solo l’Ucraina, a conferma di come le gang criminali sponsorizzate da paesi ostili stiano effettuando operazioni mirate di furto di credenziali e dati, sappiamo come in realtà il cyber spazio non abbia confini definiti.
Si consiglia pertanto agli specialisti della sicurezza italiani di valutare comunque l’implementazione sui propri dispostivi degli IoC pubblicati dal CERT-UA.
