Исследователи обнаружили зловред, ворующий сохраненные учетные данные и сведения о банковских картах из браузеров Chrome и Firefox. Программа получила имя Vega Stealer и на данный момент представляет собой простую полезную нагрузку, однако эксперты полагают, что она может эволюционировать в нечто более опасное.

Исследователи компании Proofpoint, которые первыми заметили зловред, пришли к выводу, что он является разновидностью August Stealer. Наряду с уникальными функциями, Vega обладает набором позаимствованных у своего предка возможностей.

Помимо кражи данных, новый зловред, как и его предшественник, умеет копировать с зараженного компьютера документы Word и Excel, а также файлы PDF и TXT. При этом, как выяснили эксперты Proofpoint, в программе August эти возможности не прописаны жестко, а конфигурируются через панель командного сервера. Код для кражи данных из Chrome в Vega частично повторяет код старого зловреда, который умел извлекать информацию и из других приложений, таких как Opera или Skype. Помимо более узкой специализации, свежий браузерный вор отличается от предшественника новым протоколом сетевой связи и расширенными возможностями по краже данных из Firefox.

Исследователи из Proofpoint заметили маломасштабную спам-кампанию, распространявшую Vega Stealer. Темы рассылок выглядели как «Требуется разработчик интернет-магазина», а получателями оказывались как отдельные адресаты, так и группы лиц. В теле писем скрывалось вредоносное вложение brief.doc с макросом, загружающим зловред. Эксперты отмечают, что кампания была нацелена на представителей сферы маркетинга, рекламы и PR, а также работников розничной торговли и производства.

По данным исследователей, макрос скачивает полезную нагрузку в два этапа: сначала документ исполняет запрос, извлекающий обфусцированный скрипт JScript/PowerShell. Затем этот скрипт создает второй запрос, который загружает Vega Stealer в пользовательскую папку с музыкой. После этого зловред автоматически запускается из командной строки.

Такая структура макроса характерна не только для August, но и для других вредоносов, например для банковского трояна Ursnif. Вполне вероятно, что за ними стоят одни и те же авторы.

«Мы считаем, что это универсальный макрос, выставленный на продажу. Его задействовали разные злоумышленники, в том числе распространители банковского троян Emotet, — отметили эксперты в своем анализе, опубликованном в четверг. — Однако URL-адреса для получения полезной нагрузки напоминают те, которые применял один из отслеживаемых нами злоумышленников. От занимался распространением банковского трояна Ursnif, нередко загружающего вторичную полезную нагрузку, наподобие Nymaim, Gootkit или IcedID. Так что мы можем говорить, что эти кампании принадлежат одному организатору, со средней долей уверенности».

Зловред Vega написан на языке .NET, и образец, найденный экспертами «в дикой природе», не был ни упакован, ни обфусцирован — код представлен в относительно голом виде. Как считают в Proofpoint, Vega может быть специализированной версией August, заточенной только под эту кампанию, но есть и доводы в пользу того, что в будущем программу ждет более широкое распространение.

«Хотя Vega Stealer далеко не самый сложный или скрытный зловред, обитающий в сети, он показывает, что разработчики и организаторы атак готовы адаптировать код под конкретные преступные цели, — считают исследователи. — Поскольку механизм доставки схож с более распространенными и зрелыми угрозами, можно предполагать, что и Vega Stealer станет весьма популярным перехватчиком».

Категории: Вредоносные программы