ウクライナ政府のコンピュータ緊急対応チームであるCERT-UA (Computer Emergency Response Team of Ukraine)は5月9日(米国時間)、電子メールを介して「Jester Stealer」と呼ばれるマルウェアを配布する新しいサイバー攻撃キャンペーンを確認しているとして警告を促した。
同キャンペーンで送信される電子メールは「化学攻撃」に関連するトピックを装っており、マクロを含むMicrosoft Excelファイルへのリンクが含まれているという。このリンクにアクセスしてドキュメントを開くと、マクロを有効にすることが求められ、同意すると悪意を持ったexeファイルがダウンロードされて「Jester Stealer」と呼ばれるマルウェアに感染する。exeファイルの配布は侵害されたWebサイトによって行われている模様だ。
Jester Stealerは、侵害したPCのWebブラウザからパスワードやクレジットカード情報、Cookieの値、自動入力用に登録された情報などを盗み出す情報窃取型のマルウェアである。Webブラウザ以外にも、一部の電子メールクライアントやメッセンジャーアプリ、パスワードマネージャー、暗号資産ウォレット、ゲームアプリなども標的にする。
収集されたデータはシステムメモリにコピーされ、外部のサーバに送信される。Jester Stealerには永続化の仕組みはなく、操作が完了すると自動的に削除されるため、正規のユーザーが侵害されたことに気づきにくいという特徴がある。
CERT-UAは5月6日にも、「CredoMap_v2」と呼ばれる情報窃取型のマルウェアを配布する別のサイバー攻撃キャンペーンについて警告を発している。CredoMap_v2を使った攻撃については、ロシアが支援するAPT28(Fancy Bear、STRONTIUM、Pawn Stormなどの別名もある)と呼ばれるサイバー攻撃グループによるものと見られており、Jester Stealer攻撃についてもCredoMap_v2のケースとの類似性が指摘されている。