Saldırganlar, Kurbanları Çekmek için ‘Kimyasal Saldırı’ Temalı Kimlik Avı Postalarını Kullanıyor

Ukrayna Devlet Özel İletişim ve Bilgi Koruma Servisi altında faaliyet gösteren Ukrayna Bilgisayar Acil Müdahale Ekibi, kimliği bilinmeyen bir saldırganın kişisel verileri çalmak için “büyük” bir Jester Stealer kötü amaçlı yazılım dağıtım kampanyası yürüttüğünü söylüyor.

CERT-UA açıklamasına göre, saldırgan kötü amaçlı yazılımı “kimyasal saldırı” temalı kimlik avı e-postaları aracılığıyla dağıtıyor. Kimlik avı e-postasına eklenen XLS belgesinin açılması, bir EXE dosyasını indiren ve yürüten makroları etkinleştirir ve bu da Jester Stealer kötü amaçlı yazılımını kurbanın sistemine yükler.

Kötü amaçlı dosya, güvenliği ihlal edilmiş web kaynaklarından yüklenir. Bu, tehdit aktörlerinin kendilerine geri dönebilecek bir iz bırakmaktan kaçınmak için kötü amaçlı yazılım dağıtımı için kendi kaynakları yerine zaten tehlikeye atılmış kaynakları kullandıkları anlamına gelir.

CERT-UA uzmanları, kötü amaçlı yazılımın internet tarayıcılarından, MAIL/FTP/VPN istemcilerinden, kripto para cüzdanlarından, şifre yöneticilerinden, mesajlaşma programlarından ve oyun programlarından kimlik doğrulama ve diğer veri türlerini çalmak için kullanıldığını söylüyor.

Siber güvenlik uzmanlarına göre Jester Stealer kötü amaçlı yazılımı ile diğer kötü amaçlı yazılımlar arasındaki çarpıcı bir fark, Jester Stealer’ın çalınan tüm verileri Telegram aracılığıyla bir kötü niyetli kişiye aktarması, diğer kötü amaçlı yazılımların ise geleneksel olarak bir komut ve kontrol sunucusu kullanmasıdır. CERT-UA uzmanları, “Bilgisayar korsanları, çalınan verileri statik olarak yapılandırılmış proxy adreslerini (örneğin TOR içinde) kullanarak Telegram aracılığıyla alıyor” diyor.

bankingofsecurity.com‘da yer alan makaleye göre Şubat 2022’de, hizmet olarak küresel bir tehdit istihbarat yazılımı sağlayıcısı olan Cyble, Jester Stealer kötü amaçlı yazılımını .net tabanlı olarak sınıflandırdı ve CERT-UA tarafından sağlanana benzer bir çalışma biçimi paylaştı.