ChromeやFirefoxから認証情報など盗み取るマルウェア「Vega Stealer」

　「Vega Stealer」というマルウェアが、「Google Chrome」や「Firefox」に保存されたクレジットカードの情報などを盗み取るように設計された新たなキャンペーンで利用されているとして、Proofpointが詳細を報告している。

　現在この新しいマルウェアは、極めて単純で小規模なフィッシングキャンペーンで利用されているが、Proofpointの研究者らによると、Vega Stealerは将来、企業を狙った一般的な脅威になる可能性があるという。

　Vega Stealerは「August Stealer」の亜種だ。.August StealerはNETで記述されており、感染したマシンで認証情報、機密文書、仮想通貨ウォレットの詳細が保存されている場所を突き止めて、盗み取る。

　新しいマルウェアは、同じ機能のサブセットを持つほか、新しいネットワーク通信プロトコルやFirefoxからも盗み取る機能など、さらに拡張された機能を備えている。

　Vega Stealerも.NETで記述されており、Google Chromeに保存された認証情報と決済情報の盗難に重点を置いている。そうした認証情報には、パスワード、クレジットカード情報、プロフィール、クッキーなどが含まれる。

　Firefoxブラウザで閲覧中、マルウェアは「key3.db」「key4.db」「logins.json」「cookies.sqlite」など、さまざまなパスワードやキーが保存されているファイルを取得する。

　しかしVega Stealerの場合、そこから先がある。感染したマシンのスクリーンショットを撮り、データを盗む狙いで、「.doc」「.docx」「.txt」「.rtf」「.xls」「.xlsx」「.pdf」の拡張子を持つファイルをスキャンする。

　研究者らによると、このマルウェアは現在マーケティングや広告、広報、小売、製造業などの企業を標的として利用されているという。

　このマルウェアはフィッシングキャンペーンによって拡散されているが、そのフィッシング手法は決して洗練されたものではない。電子メールは「オンラインストアの開発者求む」といった件名で送信され、企業の個人宛に送られる場合もあるが、その多くは「publicaffairs@」や「clientservice@」などの配布リストに送信されている。

　電子メールには「brief.doc」という名のドキュメントが添付されており、悪意のあるマクロがVega Stealerのペイロードをダウンロードする。

　ペイロードは、2段階を経て回収される。ドキュメントはまず、難読化されたJScriptとPowerShellのスクリプトをダウンロードする。そのスクリプトが一旦実行されると、攻撃者のコマンド＆コントロール（C＆C）センターからVega Stealerの実行可能なペイロードを呼び出す、2つ目のリクエストを作成する。

　そのペイロードは「joyoxu.pkzip.」という名で、被害者の「ミュージック」ディレクトリに保存される。実行可能なファイルの準備が整うと、Vega Stealerはコマンドラインを通じて自動的に実行され、情報の取得を開始する。

　Proofpointによると、Vega Stealerが今回のキャンペーン向けに、August Stealerに手を加えて特別に開発されたマルウェアであるかは不明である。しかし、ペイロードは高度なメカニズムによって実行されるため、Vega Stealerが一般的な脅威として進化する恐れがあるという。

提供：File Photo