VegaStealer恶意软件是一项新运动的核心,旨在从GoogleChrome和Firefox浏览器中获取保存下来的金融数据。
虽然这种新的恶意软件目前只用于简单和小规模的网络钓鱼活动,Proofpoint的研究人员表示,Vega Stealer有可能成为未来企业的共同威胁。
VegaSteerer是8月盗版者的变体。写进去。NET,8月窃取者定位和窃取受感染计算机的凭据、敏感文档和密码钱包详细信息。
新的恶意软件具有相同的功能子集,但也通过扩展的功能库进行了升级,包括新的网络通信协议和Firefox窃取功能。
VegaStealer也是用.NET编写的,重点是在GoogleChrome中窃取保存的凭据和支付信息。这些凭据包括密码、保存的信用卡、配置文件和cookie。
在使用Firefox浏览器时,恶意软件会收获特定的文件--"key3.db""key4.db"、"logins.json"和"cookies.sqlite"--存储各种密码和密钥。
然而,Vega盗窃者并不在那里包裹。恶意软件还获取受感染计算机的屏幕截图,并扫描系统中终止的任何文件。单据,.DOX,.TXT,.RTF,。XLS,.xls。Xlsx,或。用于Extration的PDF。
据安全研究人员称,该恶意软件目前正被用于市场营销、广告、公共关系、零售和制造等领域的业务。
然而,设计用来传播恶意软件的网络钓鱼活动不是复杂的。电子邮件是以主题行(如"需要在线商店开发者,")发送的,而一些电子邮件是针对某个业务的个人进行的,大多数消息都会发送到包括"公共事务@@"和"clientService@"在内的分发列表中。
该电子邮件包含一个名为“公文包.doc”的附件,其中恶意宏下载了VegaSteerer有效载荷。
将分两个步骤检索有效载荷。该文档首先下载一个模糊的JScript/PowerShell脚本,该脚本一旦执行,将创建第二个请求,该请求将VegaStealer的可执行有效负载从威胁参与者的命令和控制中心(C&C)中心提取出来。
然后将此有效负载保存在受害者的“Music”目录中,名为“ljooxu.pkzip”。一旦可执行文件到位,VegaStealer就会通过命令行自动执行,以便开始收集信息。
另请参见:SynackRansomware通过DoppelginNing技术规避防病毒软件
Proofpoint认为,参与该活动的文档宏和URL可能指向对传播金融恶意软件的活动负有责任的同一个威胁行为者。然而,这种归属是暂时的。
"在此活动中使用的文档宏是我们认为用于销售和由多个行为体使用的商品宏,包括威胁行为体传播EMEtetBanking特洛伊木马程序,"研究人员说."但是,宏检索有效载荷的URL模式与我们跟踪的演员所使用的URL模式相同,我们跟踪谁分发URSNIFBanking特洛伊木马,后者通常下载诸如Nymaim、Gootkit或ICEDID之类的辅助有效载荷。因此,我们将此活动属性设置为具有中等置信度的同一角色。"
校对说,仍然可以看到,Vega的偷窃者是否只是为了这个特定的运动而开发的8月份偷窃者的调整版本。然而,该团队确实认为,由于复杂的交付机制,Vega盗窃者有可能演变为共同的威胁。