Detecção de Malware Jester Stealer: Ataques de Phishing Espalhando Malware de Roubo de Informações pelo Grupo de Hackers UAC-0104

[post-views]
Maio 09, 2022 · 3 min de leitura
Detecção de Malware Jester Stealer: Ataques de Phishing Espalhando Malware de Roubo de Informações pelo Grupo de Hackers UAC-0104

Uma onda de novos ataques cibernéticos de phishing recentemente varreu a Ucrânia. Logo após um ataque pelos atores de ameaça APT28 espalhando o software malicioso de roubo de informações CredoMap_v2, outro grupo de hackers recentemente distribuiu e-mails de phishing implantando malware chamado Jester Stealer, conforme relatado pelo CERT-UA. Esta última atividade maliciosa foi rastreada como UAC-0104 com base nos padrões de comportamento do adversário.

Análise do Jester Stealer do Último Ataque do UAC-0104

Ladroes de informações, que permitem que atacantes exfiltrem dados sensíveis das vítimas, estão constantemente evoluindo junto com o phishing como um dos vetores de ataque mais eficazes. Amostras de malware de roubo de informações geralmente exfiltram dados de navegadores web, clientes de EMAIL/FTP/VPN, carteiras de criptomoedas, gerenciadores de senhas, etc. A campanha recém-detectada do Jester Stealer aproveita malware de roubo de informações desvendado por Cyble Research Labs em fevereiro de 2022.

No último ataque cibernético por meio de e-mails de phishing infectados com Jester Stealer, atores de ameaça exploraram o tema “ataque químico” como isca para enganar os usuários a abrir e-mails que continham um link para um arquivo XLS com uma macro maliciosa. Após abrir o arquivo e habilitar a macro, esta última lança um arquivo executável, que infecta ainda mais o sistema com a cepa de malware de roubo de informações mencionada acima. Dados exfiltrados podem então ser compartilhados com atacantes usando o serviço de mensagens Telegram via endereços proxy definidos estatisticamente, incluindo a rede TOR. O ladrão de informações usado pelo grupo UAC-0104 usa um conjunto de técnicas para dificultar a análise de malware e não possui um mecanismo de persistência. Através de uma série de atualizações, o malware gradualmente melhorou suas capacidades, incluindo criptografia AES-CBC-256, armazenamento de logs na memória, assim como suporte para recursos anti-sandbox e anti-VM. Além disso, o Jester Stealer se autoexclui após completar a operação maliciosa, permitindo que os atores de ameaça evitem a detecção.

Detectar Malware Jester Stealer

Para permitir que os profissionais de segurança da informação detectem rapidamente infecções causadas pelo Jester Stealer e detectem proativamente ataques cibernéticos atribuídos aos atores de ameaça UAC-0104, a plataforma da SOC Prime reúne um conjunto de algoritmos de detecção dedicados disponíveis abaixo:

Regras Sigma para Detectar a Atividade Maliciosa Relacionada ao Grupo UAC-0104

Profissionais de cibersegurança são instruídos a fazer login na plataforma da SOC Prime com sua conta atual ou se cadastrar para acesso instantâneo ao conteúdo de detecção mencionado acima. As capacidades da plataforma permitem buscar diretamente os itens de conteúdo relevantes usando uma tag personalizada #UAC-0104 associada ao coletivo de hackers correspondente.

Além disso, este kit de regras pode ser aproveitado para buscar ameaças cibernéticas relacionadas à atividade maliciosa do grupo UAC-0104 usando o Quick Hunt módulo do SOC Prime, tornando a caça mais simples do que nunca.

Contexto MITRE ATT&CK®: Novos Ataques de Phishing pelo UAC-0104

Para obter insights sobre o comportamento dos atacantes por trás dos últimos ataques UAC-0104 envolvendo o malware Jester Stealer, as detecções baseadas no Sigma referenciadas acima estão mapeadas para o framework MITRE ATT&CK abordando as táticas e técnicas correspondentes:

Tactics

Techniques

Sigma Rules

  Resource Development

Develop Cabalities (T1587)

  Defense Evasion

Masquerading (T1036)

Reconnaissance

Gather Victim Network Information (T1590)

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Publicações Relacionadas