VEGA Stealer恶意软件窃取 Chrome 和 Firefox 浏览器信息
翻译:360代码卫士团队
Proofpoint 公司的研究人员发现了一款名为 “Vega Stealer” 的恶意软件,意在窃取保存在 Chrome 和 Firefox 浏览器中的凭证和信用卡信息。虽然它目前只是一个简单的 payload,但可能在以后变得更具破坏性。
研究人员指出,Vega Stealer 是 August Stealer 的变体,它除了具有后者的功能外,还具有其它独特之处。
除了窃取浏览器数据外,Vega 也具有从受感染设备中提取 Word、Excel、PDF 和文本文件信息的能力,和 August 的能力并无二致(Proofpoint 公司指出,August 并未将该能力硬编码到恶意软件中,它在 C&C 面板中是可配置的。)另外,Vega 的 Chrome 浏览器窃取功能是 August 代码的子集,August 还能从其它浏览器和应用如 Skype 和 Opera 中窃取信息。
Vega 的新功能包括新的网络通信协议和扩展后的从 Firefox 浏览器中窃取信息的能力。
安全研究员指出,Vega 通过小规模邮件活动进行传播,邮件主题如 “聘请网店开发人员 (Online store developer required)”,发送目标是个人和传播列表。信息中含有一个恶意附件 “brief.doc”,其中包含的宏下载 Vega。
有意思的是,所观测到的垃圾邮件活动的目标相对集中:它针对的是市场营销、广告、公关、零售以及制造业。
研究人员表示,通过两个步骤,宏检索 payload:文本执行检索已混淆的 JScript/PowerShell 脚本的请求。执行脚本后创建第二个请求,将 Vega Stealer payload 下载到用户的音乐目录。随后通过命令行自动执行恶意软件。
Proofpoint 公司表示,这种宏方式不仅类似于 August,还类似于其它不良代码如 Ursnif 银行木马。研究人员表示这是一种实验性归属。研究人员分析指出,“我们认为这是一种供出售的商业宏,被很多威胁人员使用,包括传播 Emotet 银行木马的威胁人员。然而,宏检索 payload 的 URL 模式和传播 Ursnif 银行木马的威胁人员使用的一样。Ursnif 银行木马传播人员经常下载第二级 payload 如 Nymaim、Gootkit 或 IcedID。因此,我们有一半的把握认为二者出自同一伙恶意人员。”
Vega 用 .NET 编写而成,而在野释放的样本并不包含任何包装或混淆方法,因此它基本上只保留了基本特征。研究人员指出,虽然 Vega 可能对 August 做出了特别修改以满足特定活动的需求,但在未来它将得到更加广泛的利用。
研究人员指出,“虽然 Vega Stealer 并非目前最复杂或最具隐秘性的恶意软件,但它展示了恶意软件、作者以及威胁人员实现犯罪目标的灵活性。因为传播机制类似于传播更加广泛也更加成熟的威胁,因此 Vega Stealer 有可能会演变为更加普遍的窃取器。”
研究人员还补充道,“如果得到进一步开发和传播,Vega Stealer 能够产生更加持久的影响。从传播方式和来源来看,该威胁可能会继续演进。”
关联阅读
原文链接
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。