logo

ChromeやFirefoxから認証情報など盗み取るマルウェア「Vega Stealer」

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部2018年05月15日 10時59分
  • このエントリーをはてなブックマークに追加

 「Vega Stealer」というマルウェアが、「Google Chrome」や「Firefox」に保存されたクレジットカードの情報などを盗み取るように設計された新たなキャンペーンで利用されているとして、Proofpointが詳細を報告している。

 現在この新しいマルウェアは、極めて単純で小規模なフィッシングキャンペーンで利用されているが、Proofpointの研究者らによると、Vega Stealerは将来、企業を狙った一般的な脅威になる可能性があるという。

 Vega Stealerは「August Stealer」の亜種だ。.August StealerはNETで記述されており、感染したマシンで認証情報、機密文書、仮想通貨ウォレットの詳細が保存されている場所を突き止めて、盗み取る。

 新しいマルウェアは、同じ機能のサブセットを持つほか、新しいネットワーク通信プロトコルやFirefoxからも盗み取る機能など、さらに拡張された機能を備えている。

 Vega Stealerも.NETで記述されており、Google Chromeに保存された認証情報と決済情報の盗難に重点を置いている。そうした認証情報には、パスワード、クレジットカード情報、プロフィール、クッキーなどが含まれる。

 Firefoxブラウザで閲覧中、マルウェアは「key3.db」「key4.db」「logins.json」「cookies.sqlite」など、さまざまなパスワードやキーが保存されているファイルを取得する。

 しかしVega Stealerの場合、そこから先がある。感染したマシンのスクリーンショットを撮り、データを盗む狙いで、「.doc」「.docx」「.txt」「.rtf」「.xls」「.xlsx」「.pdf」の拡張子を持つファイルをスキャンする。

 研究者らによると、このマルウェアは現在マーケティングや広告、広報、小売、製造業などの企業を標的として利用されているという。

 このマルウェアはフィッシングキャンペーンによって拡散されているが、そのフィッシング手法は決して洗練されたものではない。電子メールは「オンラインストアの開発者求む」といった件名で送信され、企業の個人宛に送られる場合もあるが、その多くは「publicaffairs@」や「clientservice@」などの配布リストに送信されている。

 電子メールには「brief.doc」という名のドキュメントが添付されており、悪意のあるマクロがVega Stealerのペイロードをダウンロードする。

 ペイロードは、2段階を経て回収される。ドキュメントはまず、難読化されたJScriptとPowerShellのスクリプトをダウンロードする。そのスクリプトが一旦実行されると、攻撃者のコマンド&コントロール(C&C)センターからVega Stealerの実行可能なペイロードを呼び出す、2つ目のリクエストを作成する。

 そのペイロードは「joyoxu.pkzip.」という名で、被害者の「ミュージック」ディレクトリに保存される。実行可能なファイルの準備が整うと、Vega Stealerはコマンドラインを通じて自動的に実行され、情報の取得を開始する。

 Proofpointによると、Vega Stealerが今回のキャンペーン向けに、August Stealerに手を加えて特別に開発されたマルウェアであるかは不明である。しかし、ペイロードは高度なメカニズムによって実行されるため、Vega Stealerが一般的な脅威として進化する恐れがあるという。

Vega Stealer
提供:File Photo

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

-PR-企画特集