Вредоносная программа Vega Stealer используется киберпреступниками в новой кампании, цель которой — сбор финансовой информации, сохраненной в браузерах Google Chrome и Firefox. Исследователи из Proofpoint утверждают, что Vega Stealer в будущем может стать серьезной угрозой для бизнеса.

Как оказалось, Vega Stealer является логическим продолжением вредоноса August Stealer, написанного в .NET. Эти программы крадут учетные данные, конфиденциальные документы и данные криптовалютных кошельков с зараженных компьютеров.

Злоумышленники немного доработали Vega Stealer, добавив новый протокол для коммуникаций по сети и функцию, отвечающую за кражу данных из браузера Firefox.

В целом, Vega Stealer ориентирован на кражу учетных данных и платежной информации из популярных браузеров. Он может передавать злоумышленнику пароли, сохраненные кредитные карты, профили и файлы cookie.

В случае с браузером Firefox вредоносная программа собирает определенные файлы: key3.db, key4.db, logins.json и cookies.sqlite — они отвечают за хранение различных паролей и ключей.

Vega Stealer также снимает скриншоты и сканирует любые файлы, имеющие расширения .doc, .docx, .txt, .rtf, .xls, .xlsx или .pdf.

Специалисты утверждают, что данный вредонос используется в сфере маркетинга, рекламы, связей с общественностью, розничной торговли и производства. Схема распространения до боли знакома — фишинговые электронные письма.

В таком письме содержится вложение под названием «brief.doc», вредоносные макросы в этом документе загружают пейлоад Vega Stealer. Вредоносная нагрузка извлекается в два этапа. Сначала документ загружает обфусцированный сценарий JScript/PowerShell, который после выполнения загружает Vega Stealer с командного сервера C&C.