「Vega Stealer」というマルウェアが、「Google Chrome」や「Firefox」に保存されたクレジットカードの情報などを盗み取るように設計された新たなキャンペーンで利用されているとして、Proofpointが詳細を報告している。
現在この新しいマルウェアは、極めて単純で小規模なフィッシングキャンペーンで利用されているが、Proofpointの研究者らによると、Vega Stealerは将来、企業を狙った一般的な脅威になる可能性があるという。
Vega Stealerは「August Stealer」の亜種だ。.August StealerはNETで記述されており、感染したマシンで認証情報、機密文書、仮想通貨ウォレットの詳細が保存されている場所を突き止めて、盗み取る。
新しいマルウェアは、同じ機能のサブセットを持つほか、新しいネットワーク通信プロトコルやFirefoxからも盗み取る機能など、さらに拡張された機能を備えている。
Vega Stealerも.NETで記述されており、Google Chromeに保存された認証情報と決済情報の盗難に重点を置いている。そうした認証情報には、パスワード、クレジットカード情報、プロフィール、クッキーなどが含まれる。
Firefoxブラウザで閲覧中、マルウェアは「key3.db」「key4.db」「logins.json」「cookies.sqlite」など、さまざまなパスワードやキーが保存されているファイルを取得する。
しかしVega Stealerの場合、そこから先がある。感染したマシンのスクリーンショットを撮り、データを盗む狙いで、「.doc」「.docx」「.txt」「.rtf」「.xls」「.xlsx」「.pdf」の拡張子を持つファイルをスキャンする。
研究者らによると、このマルウェアは現在マーケティングや広告、広報、小売、製造業などの企業を標的として利用されているという。
このマルウェアはフィッシングキャンペーンによって拡散されているが、そのフィッシング手法は決して洗練されたものではない。電子メールは「オンラインストアの開発者求む」といった件名で送信され、企業の個人宛に送られる場合もあるが、その多くは「publicaffairs@」や「clientservice@」などの配布リストに送信されている。
電子メールには「brief.doc」という名のドキュメントが添付されており、悪意のあるマクロがVega Stealerのペイロードをダウンロードする。
ペイロードは、2段階を経て回収される。ドキュメントはまず、難読化されたJScriptとPowerShellのスクリプトをダウンロードする。そのスクリプトが一旦実行されると、攻撃者のコマンド&コントロール(C&C)センターからVega Stealerの実行可能なペイロードを呼び出す、2つ目のリクエストを作成する。
そのペイロードは「joyoxu.pkzip.」という名で、被害者の「ミュージック」ディレクトリに保存される。実行可能なファイルの準備が整うと、Vega Stealerはコマンドラインを通じて自動的に実行され、情報の取得を開始する。
Proofpointによると、Vega Stealerが今回のキャンペーン向けに、August Stealerに手を加えて特別に開発されたマルウェアであるかは不明である。しかし、ペイロードは高度なメカニズムによって実行されるため、Vega Stealerが一般的な脅威として進化する恐れがあるという。
提供:File Photo
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
