Vega Stealer-malware steelt financiële gegevens uit Chrome en Firefox

Onderzoekers hebben nieuwe malware ontdekt waarbij opgeslagen financiële gegevens in Google Chrome en Firefox het doelwit zijn. Momenteel gebruiken kwaadwillenden Vega Stealer in simpele en kleine phishing-campagnes, maar ontdekker Proofpoint waarschuwt voor de grote bedreiging die Vega Stealer voor bedrijven kan gaan vormen.

Het gaat om een variant op August Stealer, de malware die geschreven is in .NET. Bij een besmet systeem worden gegevens, gevoelige documenten en details over de cryptovaluta-wallet gedetecteerd en gestolen. Vega Stealer is eveneens in .NET geschreven en focust zich op het bemachtigen van gegevens en betalingsinformatie in Google Chrome. Hierbij kun je denken aan wachtwoorden, opgeslagen creditcards, profielen en cookies.

Ook gebruikers van Firefox zijn het doelwit. Als deze browser actief is dan haalt de malware specifieke bestanden op: ‘key3.db’, ‘key4.db’, ‘logins.json’ en ‘cookies.sqlite’. Hierin worden verschillende wachtwoorden en sleutels opgeslagen. Vega Stealer gaat nog een stapje verder door een screenshot te maken van het apparaat en te scannen op bestanden in het gehele systeem. Bestanden die eindigen op .doc, .docx, .txt, .rtf, .xls, .xlsx of .pdf worden één voor één geëxporteerd naar de command en control-server.

Binnenhalen

De cybercriminelen gebruiken phishingcampagnes om bedrijven die zich bezighouden met marketing, adverteren, public relations, retail en fabricage te besmetten. De manier waarop de e-mails in elkaar steken is echter niet zo geavanceerd. Als onderwerp gebruiken ze bijvoorbeeld “Online store developer required”, terwijl de meeste mails verstuurd worden aan lijsten als “publicaffairs@” en “clientservice@”. In de bijlagen bevindt zich het schadelijke bestand met de naam “brief.doc”.

Na het downloaden van het bestand wordt Vega Stealer in fases binnengehaald. De eerste stap bestaat uit het downloaden van een verduisterd JScript/PowerShell-script. Als deze uitgevoerd wordt komt er een tweede verzoek. Dan wordt de uitvoerbare payload van de Vega Stealer gedownload, om die in de Muziek-map van het slachtoffer te plaatsen. Daarna vinden de activiteiten automatisch plaats.

Met name vanwege de geavanceerde manier waarop Vega Stealer uiteindelijk wordt binnengehaald, denken de onderzoekers van Proofpoint dat de aanval op termijn veel succesvoller kan zijn.