Detección de Jester Stealer: Ataques de Phishing que Propagan Malware Roba-Información por el Grupo de Hackers UAC-0104
Tabla de contenidos:
Una ola de nuevos ciberataques de phishing ha barrido recientemente Ucrania. Inmediatamente después de un ataque por parte de los actores de amenazas APT28 que propagaron el software malicioso roba-información CredoMap_v2, otro grupo de hackers ha distribuido recientemente correos electrónicos de phishing desplegando malware llamado Jester Stealer, como informa CERT-UA. Esta última actividad maliciosa ha sido rastreada como UAC-0104 basada en los patrones de comportamiento del adversario.
Análisis de Jester Stealer del Último Ataque por UAC-0104
Robadores de información, que permiten a los atacantes exfiltrar datos sensibles de las víctimas, están evolucionando constantemente junto con el phishing como uno de los vectores de ataque más efectivos. Las muestras de malware roba-información comúnmente exfiltran datos de navegadores web, clientes MAIL/FTP/VPN, carteras de criptomonedas, gestores de contraseñas, etc. La campaña recién detectada de Jester Stealer aprovecha el malware roba-información descubierto por Cyble Research Labs en febrero de 2022.
En el último ciberataque a través de correos electrónicos de phishing infectados con Jester Stealer, los actores de amenazas han explotado el tema de “ataque químico” como un señuelo destinado a engañar a los usuarios para que abran correos que contenían un enlace a un archivo XLS con un macro malicioso. Después de abrir el archivo y habilitar el macro, este último lanza un archivo ejecutable, que infecta aún más el sistema con la mencionada cepa de malware roba-información. Los datos exfiltrados pueden luego compartirse con los atacantes utilizando el servicio de mensajería Telegram a través de direcciones proxy definidas estadísticamente, incluyendo la red TOR. El roba-información usado por el grupo UAC-0104 utiliza un conjunto de técnicas para dificultar el análisis de malware y carece de un mecanismo de persistencia. A través de una serie de actualizaciones, el malware ha mejorado sus capacidades, incluyendo cifrado AES-CBC-256, almacenamiento de registros en memoria, así como soporte para características anti-sandbox y anti-VM. Además, Jester Stealer se elimina a sí mismo después de completar la operación maliciosa, permitiendo que los actores de amenazas evadan la detección.
Detectar el Malware Jester Stealer
Para permitir a los practicantes de InfoSec detectar oportunamente infecciones causadas por Jester Stealer y detectar proactivamente ciberataques atribuidos a los actores de amenazas UAC-0104, la plataforma de SOC Prime organiza un conjunto de algoritmos de detección dedicados disponibles a continuación:
Reglas Sigma para Detectar la Actividad Maliciosa Relacionada con el Grupo UAC-0104
Se solicita a los profesionales de ciberseguridad que inicien sesión en la plataforma de SOC Prime con su cuenta actual o se registren para tener acceso instantáneo al contenido de detección mencionado. Las capacidades de la plataforma permiten buscar directamente los elementos de contenido relevantes utilizando la etiqueta personalizada #UAC-0104 asociada con el colectivo de hacking correspondiente.
Además, este kit de reglas puede ser utilizado para buscar amenazas cibernéticas relacionadas con la actividad maliciosa del grupo UAC-0104 usando el Quick Hunt módulo de SOC Prime, haciendo la caza más simple que nunca.
Contexto MITRE ATT&CK®: Nuevos Ataques de Phishing por UAC-0104
Para obtener información sobre el comportamiento de los atacantes detrás de los últimos ataques UAC-0104 que involucran el malware Jester Stealer, las detecciones basadas en Sigma mencionadas anteriormente están mapeadas al marco MITRE ATT&CK abordando las tácticas y técnicas correspondientes:
