ChromeやFirefoxから認証情報など盗み取るマルウェア「Vega Stealer」

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部

2018-05-15 10:59

 「Vega Stealer」というマルウェアが、「Google Chrome」や「Firefox」に保存されたクレジットカードの情報などを盗み取るように設計された新たなキャンペーンで利用されているとして、Proofpointが詳細を報告している。

 現在この新しいマルウェアは、極めて単純で小規模なフィッシングキャンペーンで利用されているが、Proofpointの研究者らによると、Vega Stealerは将来、企業を狙った一般的な脅威になる可能性があるという。

 Vega Stealerは「August Stealer」の亜種だ。.August StealerはNETで記述されており、感染したマシンで認証情報、機密文書、仮想通貨ウォレットの詳細が保存されている場所を突き止めて、盗み取る。

 新しいマルウェアは、同じ機能のサブセットを持つほか、新しいネットワーク通信プロトコルやFirefoxからも盗み取る機能など、さらに拡張された機能を備えている。

 Vega Stealerも.NETで記述されており、Google Chromeに保存された認証情報と決済情報の盗難に重点を置いている。そうした認証情報には、パスワード、クレジットカード情報、プロフィール、クッキーなどが含まれる。

 Firefoxブラウザで閲覧中、マルウェアは「key3.db」「key4.db」「logins.json」「cookies.sqlite」など、さまざまなパスワードやキーが保存されているファイルを取得する。

 しかしVega Stealerの場合、そこから先がある。感染したマシンのスクリーンショットを撮り、データを盗む狙いで、「.doc」「.docx」「.txt」「.rtf」「.xls」「.xlsx」「.pdf」の拡張子を持つファイルをスキャンする。

 研究者らによると、このマルウェアは現在マーケティングや広告、広報、小売、製造業などの企業を標的として利用されているという。

 このマルウェアはフィッシングキャンペーンによって拡散されているが、そのフィッシング手法は決して洗練されたものではない。電子メールは「オンラインストアの開発者求む」といった件名で送信され、企業の個人宛に送られる場合もあるが、その多くは「publicaffairs@」や「clientservice@」などの配布リストに送信されている。

 電子メールには「brief.doc」という名のドキュメントが添付されており、悪意のあるマクロがVega Stealerのペイロードをダウンロードする。

 ペイロードは、2段階を経て回収される。ドキュメントはまず、難読化されたJScriptとPowerShellのスクリプトをダウンロードする。そのスクリプトが一旦実行されると、攻撃者のコマンド&コントロール(C&C)センターからVega Stealerの実行可能なペイロードを呼び出す、2つ目のリクエストを作成する。

 そのペイロードは「joyoxu.pkzip.」という名で、被害者の「ミュージック」ディレクトリに保存される。実行可能なファイルの準備が整うと、Vega Stealerはコマンドラインを通じて自動的に実行され、情報の取得を開始する。

 Proofpointによると、Vega Stealerが今回のキャンペーン向けに、August Stealerに手を加えて特別に開発されたマルウェアであるかは不明である。しかし、ペイロードは高度なメカニズムによって実行されるため、Vega Stealerが一般的な脅威として進化する恐れがあるという。

Vega Stealer
提供:File Photo

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  2. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  3. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    ランサムウェア攻撃に狙われる医療機関、今すぐ実践すべきセキュリティ対策とは?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]