VEGA Stealer恶意软件窃取 Chrome 和 Firefox 浏览器信息

翻译：360代码卫士团队

Proofpoint 公司的研究人员发现了一款名为 “Vega Stealer” 的恶意软件，意在窃取保存在 Chrome 和 Firefox 浏览器中的凭证和信用卡信息。虽然它目前只是一个简单的 payload，但可能在以后变得更具破坏性。

研究人员指出，Vega Stealer 是 August Stealer 的变体，它除了具有后者的功能外，还具有其它独特之处。

除了窃取浏览器数据外，Vega 也具有从受感染设备中提取 Word、Excel、PDF 和文本文件信息的能力，和 August 的能力并无二致（Proofpoint 公司指出，August 并未将该能力硬编码到恶意软件中，它在 C&C 面板中是可配置的。）另外，Vega 的 Chrome 浏览器窃取功能是 August 代码的子集，August 还能从其它浏览器和应用如 Skype 和 Opera 中窃取信息。

Vega 的新功能包括新的网络通信协议和扩展后的从 Firefox 浏览器中窃取信息的能力。

安全研究员指出，Vega 通过小规模邮件活动进行传播，邮件主题如 “聘请网店开发人员 (Online store developer required)”，发送目标是个人和传播列表。信息中含有一个恶意附件 “brief.doc”，其中包含的宏下载 Vega。

有意思的是，所观测到的垃圾邮件活动的目标相对集中：它针对的是市场营销、广告、公关、零售以及制造业。

研究人员表示，通过两个步骤，宏检索 payload：文本执行检索已混淆的 JScript/PowerShell 脚本的请求。执行脚本后创建第二个请求，将 Vega Stealer payload 下载到用户的音乐目录。随后通过命令行自动执行恶意软件。

Proofpoint 公司表示，这种宏方式不仅类似于 August，还类似于其它不良代码如 Ursnif 银行木马。研究人员表示这是一种实验性归属。研究人员分析指出，“我们认为这是一种供出售的商业宏，被很多威胁人员使用，包括传播 Emotet 银行木马的威胁人员。然而，宏检索 payload 的 URL 模式和传播 Ursnif 银行木马的威胁人员使用的一样。Ursnif 银行木马传播人员经常下载第二级 payload 如 Nymaim、Gootkit 或 IcedID。因此，我们有一半的把握认为二者出自同一伙恶意人员。”

Vega 用 .NET 编写而成，而在野释放的样本并不包含任何包装或混淆方法，因此它基本上只保留了基本特征。研究人员指出，虽然 Vega 可能对 August 做出了特别修改以满足特定活动的需求，但在未来它将得到更加广泛的利用。

研究人员指出，“虽然 Vega Stealer 并非目前最复杂或最具隐秘性的恶意软件，但它展示了恶意软件、作者以及威胁人员实现犯罪目标的灵活性。因为传播机制类似于传播更加广泛也更加成熟的威胁，因此 Vega Stealer 有可能会演变为更加普遍的窃取器。”

研究人员还补充道，“如果得到进一步开发和传播，Vega Stealer 能够产生更加持久的影响。从传播方式和来源来看，该威胁可能会继续演进。”

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。