近期，烏克蘭計算機應(yīng)急響應(yīng)小組(CERT-UA)檢測到某惡意垃圾郵件活動，該活動旨在傳播名為Jester Stealer的信息竊取程序。

據(jù)調(diào)查，烏克蘭CERT發(fā)現(xiàn)的該惡意郵件主題為“化學(xué)攻擊”，郵件中包含一個帶有惡意鏈接的Microsoft Excel文件。當(dāng)用戶打開該Office文檔并激活嵌入的宏后，整個感染過程就開始了。經(jīng)過政府專家的調(diào)查，發(fā)現(xiàn)該惡意可執(zhí)行文件是從受感染的網(wǎng)絡(luò)資源中下載的。

對此，烏克蘭計算機應(yīng)急響應(yīng)小組及時發(fā)布了相應(yīng)的公告，公告中稱：政府應(yīng)對烏克蘭計算機緊急情況的團隊CERT-UA披露了有關(guān)“化學(xué)攻擊”主題的大量電子郵件以及指向帶有宏的 XLS文檔的鏈接的惡意活動。如果你打開文檔并激活宏，下載并運行該EXE文件，這將激活惡意程序JesterStealer并對您的計算機造成一定傷害。

據(jù)研究，JesterStealer能夠從Internet瀏覽器、MAIL/FTP/VPN 客戶端、加密貨幣錢包、密碼管理器、郵件、游戲程序等竊取憑據(jù)和身份驗證令牌。

該信息竊取惡意軟件實現(xiàn)了反分析功能(反虛擬機/調(diào)試/沙盒)，但它沒有實現(xiàn)任何持久性機制。威脅參與者使用靜態(tài)配置的代理地址通過 Telegram 泄露數(shù)據(jù)。從發(fā)布的公告中得知，通過靜態(tài)定義的代理地址(包括在 TOR 網(wǎng)絡(luò)中)竊取的數(shù)據(jù)在 Telegram 中傳輸給攻擊者。