Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, виявила факт масового розповсюдження електронних листів із тематикою "хімічної атаки".
Про це повідомили у пресслужбі Державної служби спеціального зв’язку та захисту інформації України.
У разі відкриття документу та активації макросу, останній здійснить завантаження і запуск EXE-файлу, що, в подальшому, призведе до ураження комп'ютера шкідливою програмою JesterStealer. Зауважимо, що завантаження виконуваних файлів здійснюється зі скомпрометованих веб-ресурсів.
За функціоналом згадана програма є стілером, що забезпечує викрадення автентифікаційних та інших даних з Інтернет-браузерів, MAIL/FTP/VPN-клієнтів, криптовалютних гаманців, менеджерів паролів, месенджерів, ігрових програм тощо. Викрадені дані через статично визначені адреси проксі (в т.ч., в мережі TOR) передаються зловмиснику в Telegram. Також, реалізовано функціонал протидії аналізу (anti-VM/debug/sandbox). Механізм забезпечення пересистентності відсутній - після завершення роботи програма видаляється.
Активність тимчасово відстежується за ідентифікатором UAC-0104.
