Mã độc này (với tên gọi là “Vega Stealer”) được viết bằng .NET (C#) và là một biến thể của mã độc August Stealer – loại mã độc thường trú và đánh cắp thông tin đăng nhập của các tài liệu nhạy cảm và thông tin chi tiết các loại ví trong hệ thống bị nhiễm.
Tuy nhiên, loại mã độc mới này khá khác biệt, loại này gồm một giao thức giao tiếp mạng mới và chức năng mới, chủ yếu là các hoạt động đánh cắp dữ liệu từ trình duyệt.
Các nhà nghiên cứu bảo mật của Proofpoint nói rằng:
“Mã độc có chức năng đánh cắp với các mục tiêu là các thông tin đăng nhập đã lưu và các credit card có trong trình duyệt Chrome và Firefox, ngoài ra, nó cũng đánh cắp các tài liệu nhạy cảm từ máy tính bị nhiễm.”
Cơ chế hoạt động của Vega Stealer
Con đường lây nhiễm của Vega có thể được đính kèm thông qua các tài liệu, được gửi đi bằng email hoặc có thể được hacker gửi trực tiếp cho victim. Mã độc được thiết kế có ảnh hưởng lâu dài hơn nếu được phát triển và phân nhánh nhiều hơn. Do sự phân bố và dòng dõi, mối đe dọa này có thể tiếp tục phát triển và trở thành mối đe dọa thường thấy. Tên “Vega Stealer” được bắt nguồn từ chuỗi sau:
C:\Users\Willy\source\repos\Vega\Vega\obj\Release\Vega.pdb
Vega Stealer được viết bằng .NET và mẫu mà chúng tôi phân tích (mẫu lây lan trong thực tế) không chứa bất kỳ phương pháp đóng gói (packing) hoặc làm rối nào (obfuscation). Một trong những mục tiêu của Vega Stealer là thu thập và trích xuất dữ liệu từ trình duyệt Chrome, bao gồm:
- Passwords (bảng “logins” của database SQLite chứa URLs, username và password tương ứng)
- Các credit card đã lưu (bảng tự động điền “credit_cards” chứa name, expiration date, và card number)
- Thông tin Profile (bảng “autofill_profile_names” chứa first, middle, và last name)
- Các Cookie
Đối với trình duyệt Mozilla Firefox, Vega thu thập các file từ thư mục “\\Mozilla\\Firefox\\Profiles”, cụ thể là các file “key3.db”, “key4.db”, “logins.json” và “cookies.sqlite”. Các file này lưu trữ password và các key.
Vega cũng có thể chụp màn hình của máy victim. Mã độc này giao tiếp với C&C server thông qua giao thức HTTP. Có hai tham số được dùng trong các traffic khi giao tiếp với C&C server, được gửi qua body của request, là hai tham số f và c, trong đó f là filename, c là phần dữ liệu đã được encode dưới dạng base64 của request. Thứ tự giao tiếp với C&C cụ thể như sau:
- Nếu tìm thấy, các file của trình duyệt Firefox “key3.db",“key4.db", “logins.json" và “cookies.sqlite" sẽ được gửi đi.
- Gửi file chụp màn hình desktop với tên “screenshot.png”.
- Gửi file “chrome_pw.txt” chứa các dữ liệu đã lưu được đánh cắp từ Chrome; tham số “c=” sẽ để trống nếu không tìm thấy.
- Các request khác vẫn sẽ được thực hiện nếu Vega tìm thấy các tài liệu có định dạng phù hợp như “doc|docx|txt|rtf|xls|xlsx|pdf”.
Làm thế nào khi nó nguy hiểm hơn?
Các nhà nghiên cứu Proofpoint nói rằng, “chúng tôi tin rằng nó được bán và sử dụng bởi nhiều tác nhân, bao gồm cả kẻ đe dọa phát tán Trojan ngân hàng Emotet. Tuy nhiên, các URL pattern mà mà macro truy xuất các payload giống với các mẫu được sử dụng bởi một tác nhân mà chúng tôi đang theo dõi – kẻ đã phát tán Ursnif banking Trojan, thường sử dụng các payload phụ như Nymaim, Gootkit, or IcedID. Dựa vào kết quả, chúng tôi kết luận (chỉ ở độ tin cậy ở mức trung bình) chiến dịch này xuất phát từ cùng một tác nhân.
Cách bảo vệ
- Không mở bất kỳ tập tin đính kèm không rõ nguồn gốc nào.
- Luôn luôn sử dụng Internet Security
- Cập nhật phiên bản mới nhất cho hệ thống.
- Không lưu mật khẩu trong trình duyệt
- Đổi mật khẩu định kỳ
Nguồn tham khảo: https://blog.hackersonlineclub.com/2018/05/new-malware-designs-to-grab-data-from.html?m=1
