Saldırganlar, Kimyasal Saldırı Temalarını Kullanarak Jester Stealer Kötü Amaçlı Yazılımını Yayıyor

Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) geçenlerde Ukrayna vatandaşlarını hedef alan kötü amaçlı e-postaların toplu dağıtımı hakkında bir uyarı yayınladı.

CERT-UA danışma belgesinde şöyle deniyor: "Belgeyi açar ve makroyu etkinleştirirseniz, makro EXE dosyasını indirip çalıştırır ve bu da yakında JesterStealer adlı kötü amaçlı programla bilgisayara zarar verir. Yürütülebilir dosyaların güvenliği ihlal edilmiş web kaynaklarından indirildiği belirtiliyor".

Saldırı Nasıl Gerçekleştirildi?

E-postalarda "kimyasal saldırı" konu başlığı bulunuyor ve Ukraynalı'yı kimyasal silahların saat 01:00'de kullanılacağını gösteren bilgilerin alındığı ve yetkililerin paniğe neden olmamak için halkı tehdide karşı uyarmadığı konusunda uyarıyor.

E-postalar, kimyasal silahların nerede kullanılacağı ve insanların güvende olacağı barınakların yeri hakkında bilgi sağladığını iddia ediyor. Bu bilgiler, e-postada bağlantısı bulunan bir belgede sağlanır.

Bağlantıyı tıkladıktan sonra, kullanıcı güvenliği ihlal edilmiş bir web sitesinde barındırılan bir XLS elektronik tablosuna yönlendirilir. XLS elektronik tablosunda, belge açıldığında ve içerik etkinleştirildiğinde çalışan kötü amaçlı bir makro bulunur. Makro, uzak bir sunucudan .EXE bir payload gönderir ve Jester kötü amaçlı yazılımını sağlayan bu dosyayı yürütür.

Jester Stealer Kötü Amaçlı Yazılım

Bu kötü amaçlı yazılım, oturum açma kimlik bilgilerini, çerezleri, kripto cüzdanlarını, tarayıcılarda depolanan şifreleri, e-posta istemcilerindeki mesajları, anlık ileti sohbet verilerini ve diğer bilgileri çalabilir ve sızdırabilir.

Ayrıca, bir sanal alanda veya sanal makinede olduğunu algılamak için analiz karşıtı özelliklere sahiptir ve kalıcılık için bir mekanizmadan yoksundur, bu nedenle işlemleri gerçekleştirildikten ve program kapatıldıktan sonra kaldırılacaktır. Uzmanlar, direnci sağlayacak bir mekanizma olmadığını söylüyor – program kapatıldıktan sonra kaldırılıyor.

Bunun Rus yanlısı bilgisayar korsanlığı grubundan veya bir siber suç çetesinden bir saldırı olup olmadığına dair bir şüphe var. Jester kötü amaçlı yazılımları yaygın olarak bulunduğundan ve ayda 99 ABD doları veya ömür boyu kullanım için 249 ABD doları olarak lisanslandığından, kampanyanın bir ulus devlet tehdit aktörü tarafından yürütülmüş olması muhtemel değildir.

Ukrayna'nın işgalinden bu yana, vatandaşlar son derece uyanık ve kimyasal silah saldırıları korkusuyla yaşıyorlar, bu nedenle e-postaların açılma olasılığı yüksek. Bir e-postada belirtilen tehdidin öneminin yanı sıra, e-posta güvenliği en iyi uygulamalarını takip etmek ve istenmeyen e-postalardaki bağlantıları takip etmemek veya e-posta eklerini açmamak çok önemlidir.