編集部からのお知らせ
記事PDF集:官民意識のゼロトラスト
電子インボイスの記事まとめ

ChromeやFirefoxから認証情報など盗み取るマルウェア「Vega Stealer」

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2018-05-15 10:59

 「Vega Stealer」というマルウェアが、「Google Chrome」や「Firefox」に保存されたクレジットカードの情報などを盗み取るように設計された新たなキャンペーンで利用されているとして、Proofpointが詳細を報告している。

 現在この新しいマルウェアは、極めて単純で小規模なフィッシングキャンペーンで利用されているが、Proofpointの研究者らによると、Vega Stealerは将来、企業を狙った一般的な脅威になる可能性があるという。

 Vega Stealerは「August Stealer」の亜種だ。.August StealerはNETで記述されており、感染したマシンで認証情報、機密文書、仮想通貨ウォレットの詳細が保存されている場所を突き止めて、盗み取る。

 新しいマルウェアは、同じ機能のサブセットを持つほか、新しいネットワーク通信プロトコルやFirefoxからも盗み取る機能など、さらに拡張された機能を備えている。

 Vega Stealerも.NETで記述されており、Google Chromeに保存された認証情報と決済情報の盗難に重点を置いている。そうした認証情報には、パスワード、クレジットカード情報、プロフィール、クッキーなどが含まれる。

 Firefoxブラウザで閲覧中、マルウェアは「key3.db」「key4.db」「logins.json」「cookies.sqlite」など、さまざまなパスワードやキーが保存されているファイルを取得する。

 しかしVega Stealerの場合、そこから先がある。感染したマシンのスクリーンショットを撮り、データを盗む狙いで、「.doc」「.docx」「.txt」「.rtf」「.xls」「.xlsx」「.pdf」の拡張子を持つファイルをスキャンする。

 研究者らによると、このマルウェアは現在マーケティングや広告、広報、小売、製造業などの企業を標的として利用されているという。

 このマルウェアはフィッシングキャンペーンによって拡散されているが、そのフィッシング手法は決して洗練されたものではない。電子メールは「オンラインストアの開発者求む」といった件名で送信され、企業の個人宛に送られる場合もあるが、その多くは「publicaffairs@」や「clientservice@」などの配布リストに送信されている。

 電子メールには「brief.doc」という名のドキュメントが添付されており、悪意のあるマクロがVega Stealerのペイロードをダウンロードする。

 ペイロードは、2段階を経て回収される。ドキュメントはまず、難読化されたJScriptとPowerShellのスクリプトをダウンロードする。そのスクリプトが一旦実行されると、攻撃者のコマンド&コントロール(C&C)センターからVega Stealerの実行可能なペイロードを呼び出す、2つ目のリクエストを作成する。

 そのペイロードは「joyoxu.pkzip.」という名で、被害者の「ミュージック」ディレクトリに保存される。実行可能なファイルの準備が整うと、Vega Stealerはコマンドラインを通じて自動的に実行され、情報の取得を開始する。

 Proofpointによると、Vega Stealerが今回のキャンペーン向けに、August Stealerに手を加えて特別に開発されたマルウェアであるかは不明である。しかし、ペイロードは高度なメカニズムによって実行されるため、Vega Stealerが一般的な脅威として進化する恐れがあるという。

Vega Stealer
提供:File Photo

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 経営

    5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは

  2. 経営

    ノートPCは従来ながらの選び方ではダメ!新しい働き方にも対応する失敗しない選び方を徹底解説

  3. 経営

    問題だらけの現場指導を効率化!「人によって教え方が違う」を解消するためのマニュアル整備

  4. ビジネスアプリケーション

    緊急事態宣言解除後の利用率は低下 調査結果に見る「テレワーク」定着を阻む課題とその対応策

  5. ビジネスアプリケーション

    たしか、あのデータは、こっちのアプリにあったはず…--業務改善のためのアプリ導入がストレスの原因に?

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]