Новый вредонос похищает данные из браузеров Google Chrome и Firefox

Новый вредонос похищает данные из браузеров Google Chrome и Firefox

Вредоносная программа Vega Stealer используется киберпреступниками в новой кампании, цель которой — сбор финансовой информации, сохраненной в браузерах Google Chrome и Firefox. Исследователи из Proofpoint утверждают, что Vega Stealer в будущем может стать серьезной угрозой для бизнеса.

Как оказалось, Vega Stealer является логическим продолжением вредоноса August Stealer, написанного в .NET. Эти программы крадут учетные данные, конфиденциальные документы и данные криптовалютных кошельков с зараженных компьютеров.

Злоумышленники немного доработали Vega Stealer, добавив новый протокол для коммуникаций по сети и функцию, отвечающую за кражу данных из браузера Firefox.

В целом, Vega Stealer ориентирован на кражу учетных данных и платежной информации из популярных браузеров. Он может передавать злоумышленнику пароли, сохраненные кредитные карты, профили и файлы cookie.

В случае с браузером Firefox вредоносная программа собирает определенные файлы: key3.db, key4.db, logins.json и cookies.sqlite — они отвечают за хранение различных паролей и ключей.

Vega Stealer также снимает скриншоты и сканирует любые файлы, имеющие расширения .doc, .docx, .txt, .rtf, .xls, .xlsx или .pdf.

Специалисты утверждают, что данный вредонос используется в сфере маркетинга, рекламы, связей с общественностью, розничной торговли и производства. Схема распространения до боли знакома — фишинговые электронные письма.

В таком письме содержится вложение под названием «brief.doc», вредоносные макросы в этом документе загружают пейлоад Vega Stealer. Вредоносная нагрузка извлекается в два этапа. Сначала документ загружает обфусцированный сценарий JScript/PowerShell, который после выполнения загружает Vega Stealer с командного сервера C&C.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Гарда Монитор теперь наделён функцией выявления аномалий в трафике

В апреле 2020 года вышло обновление решения по анализу и расследованию сетевых инцидентов «Гарда Монитор» от российского производителя средств информационной безопасности «Гарда Технологии». Теперь система наделена функцией выявления аномалий в сетевом трафике.

С помощью технологий поведенческой аналитики (EBA — Entity Behavior Analytics) «Гарда Монитор» выявляет существенные отклонения в поведении устройств. Среди них: резкий всплеск объема трафика, увеличение числа сетевых соединений, увеличение количества одновременно используемых уникальных портов. Таким образом, система позволяет обнаруживать использование туннелей SSH, UDP и т.п., работу вредоносных программ в виде бот-сетей, вирусов и т.п., подозрительную активность, такую как единичный всплеск трафика с узла, ошибки в сетевых настройках серверов, рабочих станций и сервисов компании, например, в виде постоянных попыток подключения на недоступный порт.

Для выявления аномалий в сетевом трафике систему нужно настроить и провести ее обучение. Для этого офицеру безопасности необходимо указать наблюдаемые сегменты сети и свойства, по которым требуется выявление отклонений. Система отображает профиль поведения устройства за исследуемый период времени для обнаруженных аномалий.

В системе также появилась функция автоматического обновления репутационных списков, поставляемых центром компетенций по информационной безопасности «Гарда Технологии». С момента внедрения обновлений в комплексе можно получить доступ к актуальной информации об IP-адресах командных центров бот-сетей и URL-адресах вредоносных программ, о фактах обращений к которым система незамедлительно оповещает службу безопасности.

К слову, на прошлой неделе мы опубликовали обзор мирового и российского рынка систем анализа сетевого трафика (NTA).

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru