Jester Stealer IOCs

security Security

CERT-UA выявлен факт массового распространения электронных писем с тематикой "химической атаки" и ссылкой на XLS-документ с макросом. В случае открытия документа и активации макроса, последний произведет загрузку и запуск EXE-файла, что в дальнейшем приведет к поражению компьютера вредоносной программой Jester Stealer.

Заметим, что загрузка исполняемых файлов производится из скомпрометированных веб-ресурсов. По функционалу упомянутая программа является стиллером, обеспечивающим похищение аутентификационных и других данных из Интернет-браузеров, MAIL/FTP/VPN-клиентов, криптовалютных кошельков, менеджеров паролей, мессенджеров, игровых программ. Похищенные данные по статически определенным адресам прокси (в т.ч., в сети TOR) передаются злоумышленнику в Telegram. Также, реализован функционал противодействия анализу (anti-VM/debug/sandbox). Механизм обеспечения пересистентности отсутствует – после завершения работы программа удаляется.

Для получение внешнего адреса жертвы используется сервис ip-api.com.

Indicators of Compromise

IPv4

  • 157.112.183.47

Domains

  • igshop.net
  • dcshost.net
  • marmaris.com.ua
  • autodoka.com.ua
  • lightnogu5owjjllyo4tj2sfos6fchnmcidlgo6c7e6fz2hgryhfhoyd.onion
  • wasabiwallet.online

Domain and Port

  • wasabiwallet.online:7777

URLs

  • https://igshop.net/uploads/Map026.xlsb
  • https://igshop.net/uploads/Map023.xlsb
  • https://igshop.net/uploads/Map021.xlsb
  • https://igshop.net/uploads/Updater-Microsoft.exe
  • https://dcshost.net/mail/OfficeUpdaterNew.exe
  • https://marmaris.com.ua/misc/Updater-Microsoft.exe
  • https://autodoka.com.ua/extra/Updater-Microsoft.exe
  • http://lightnogu5owjjllyo4tj2sfos6fchnmcidlgo6c7e6fz2hgryhfhoyd.onion/stealer/1026977440

MD5

  • d5c9fd40738ac33f59467811c1ceb30b
  • d80f1d64e07909d29d7a2a1888931af9
  • 4742c9d0a6b5b3b10ae7eb8f6b3e2fe6
  • 70ef45cb31af0b6f37be051de4170839
  • 8f32a69ecd777f99d67bd18363afa25d
  • 31600c8891e3902a0fe2d2985d25ca34

SHA256

  • 5df051b418cd3d51cfcfe17685275e03b0efdf9a80ce237d2deccb3749576092
  • f963ed8559ade984e81a95238c4875d4c0a6ff14a7695630429bf98d4235d596
  • ef7ddd544267a8781c99f08146d455aa08beab867e0453b07f1131edcbef92b2
  • a2234ee40097fa832eb3a533840e86de3933cf216fbf8445d2946cb7b61c887b
  • da0de03004e3ec2711ddc71e119ecc252568b2c9300b98dd2434b8e83ce02dc9
  • f7477c153f861d8c57d4794481445134426d634b9f4ca58d4d8519c4b0cd0085

Emails

Windows registry

  • HKCU\SOFTWARE\kxialunboq\state
Добавить комментарий