Новый вредонос похищает данные из браузеров Google Chrome и Firefox

Новый вредонос похищает данные из браузеров Google Chrome и Firefox

Вредоносная программа Vega Stealer используется киберпреступниками в новой кампании, цель которой — сбор финансовой информации, сохраненной в браузерах Google Chrome и Firefox. Исследователи из Proofpoint утверждают, что Vega Stealer в будущем может стать серьезной угрозой для бизнеса.

Как оказалось, Vega Stealer является логическим продолжением вредоноса August Stealer, написанного в .NET. Эти программы крадут учетные данные, конфиденциальные документы и данные криптовалютных кошельков с зараженных компьютеров.

Злоумышленники немного доработали Vega Stealer, добавив новый протокол для коммуникаций по сети и функцию, отвечающую за кражу данных из браузера Firefox.

В целом, Vega Stealer ориентирован на кражу учетных данных и платежной информации из популярных браузеров. Он может передавать злоумышленнику пароли, сохраненные кредитные карты, профили и файлы cookie.

В случае с браузером Firefox вредоносная программа собирает определенные файлы: key3.db, key4.db, logins.json и cookies.sqlite — они отвечают за хранение различных паролей и ключей.

Vega Stealer также снимает скриншоты и сканирует любые файлы, имеющие расширения .doc, .docx, .txt, .rtf, .xls, .xlsx или .pdf.

Специалисты утверждают, что данный вредонос используется в сфере маркетинга, рекламы, связей с общественностью, розничной торговли и производства. Схема распространения до боли знакома — фишинговые электронные письма.

В таком письме содержится вложение под названием «brief.doc», вредоносные макросы в этом документе загружают пейлоад Vega Stealer. Вредоносная нагрузка извлекается в два этапа. Сначала документ загружает обфусцированный сценарий JScript/PowerShell, который после выполнения загружает Vega Stealer с командного сервера C&C.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Фейковый PoC устанавливает на машину ИБ-экспертов Cobalt Strike Beacon

На GitHub обнаружены два вредоносных файла, выдаваемых за PoC-эксплойты. Авторы находки из Cyble полагают, что это задел под очередную киберкампанию, мишенью которой являются участники ИБ-сообщества.

На хакерских форумах тоже обсуждают эти PoC к уязвимостям CVE-2022-26809 и CVE-2022-24500, которые Microsoft пропатчила в прошлом месяце. Как оказалось, оба репозитория GitHub принадлежат одному и тому же разработчику.

Проведенный в Cyble анализ показал, что расшаренные PoC на самом деле представляют собой вредоносный Net-банарник, упакованный с помощью ConfuserEX — обфускатора с открытым исходным кодом для приложений .Net. Зловред не содержит заявленного кода, но поддерживает эту легенду, выводя с помощью функции Sleep() поддельные сообщения, говорящие о попытке выполнения эксплойта.

Усыпив бдительность жертвы, вредонос запускает скрытую PowerShell-команду для доставки с удаленного сервера основной полезной нагрузки — маячка Cobalt Strike.

 

Этот бэкдор можно впоследствии использовать для загрузки дополнительных файлов в рамках атаки и для ее развития путем горизонтального перемещения по сети.

Похожая вредоносная кампания была зафиксирована полтора года назад. Злоумышленники вступали в контакт с баг-хантерами, пытаясь с помощью замаскированного IE-эксплойта 0-day и бэкдора добраться до информации об актуальных уязвимостях.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru