Mã độc mới được thiết kế để lấy dữ liệu từ trình duyệt Google Chrome và Firefox

TNP
11:43 24/08/2020

Mã độc này (với tên gọi là “Vega Stealer”) được viết bằng .NET (C#) và là một biến thể của mã độc August Stealer – loại mã độc thường trú và đánh cắp thông tin đăng nhập của các tài liệu nhạy cảm và thông tin chi tiết các loại ví trong hệ thống bị nhiễm.

Tuy nhiên, loại mã độc mới này khá khác biệt, loại này gồm một giao thức giao tiếp mạng mới và chức năng mới, chủ yếu là các hoạt động đánh cắp dữ liệu từ trình duyệt.

Các nhà nghiên cứu bảo mật của Proofpoint nói rằng:

“Mã độc có chức năng đánh cắp với các mục tiêu là các thông tin đăng nhập đã lưu và các credit card có trong trình duyệt Chrome và Firefox, ngoài ra, nó cũng đánh cắp các tài liệu nhạy cảm từ máy tính bị nhiễm.”

 

Cơ chế hoạt động của Vega Stealer

Con đường lây nhiễm của Vega có thể được đính kèm thông qua các tài liệu, được gửi đi bằng email hoặc có thể được hacker gửi trực tiếp cho victim. Mã độc được thiết kế có ảnh hưởng lâu dài hơn nếu được phát triển và phân nhánh nhiều hơn. Do sự phân bố và dòng dõi, mối đe dọa này có thể tiếp tục phát triển và trở thành mối đe dọa thường thấy. Tên “Vega Stealer” được bắt nguồn từ chuỗi sau:

C:\Users\Willy\source\repos\Vega\Vega\obj\Release\Vega.pdb

Vega Stealer được viết bằng .NET và mẫu mà chúng tôi phân tích (mẫu lây lan trong thực tế) không chứa bất kỳ phương pháp đóng gói (packing) hoặc làm rối nào (obfuscation). Một trong những mục tiêu của Vega Stealer là thu thập và trích xuất dữ liệu từ trình duyệt Chrome, bao gồm:

Đối với trình duyệt Mozilla Firefox, Vega thu thập các file từ thư mục “\\Mozilla\\Firefox\\Profiles”, cụ thể là các file “key3.db”, “key4.db”, “logins.json” và “cookies.sqlite”. Các file này lưu trữ password và các key.

Vega cũng có thể chụp màn hình của máy victim. Mã độc này giao tiếp với C&C server thông qua giao thức HTTP. Có hai tham số được dùng trong các traffic khi giao tiếp với C&C server, được gửi qua body của request, là hai tham số f và c, trong đó f là filename, c là phần dữ liệu đã được encode dưới dạng base64 của request. Thứ tự giao tiếp với C&C cụ thể như sau:

Làm thế nào khi nó nguy hiểm hơn?

Các nhà nghiên cứu Proofpoint nói rằng, “chúng tôi tin rằng nó được bán và sử dụng bởi nhiều tác nhân, bao gồm cả kẻ đe dọa phát tán Trojan ngân hàng Emotet. Tuy nhiên, các URL pattern mà mà macro truy xuất các payload giống với các mẫu được sử dụng bởi một tác nhân mà chúng tôi đang theo dõi – kẻ đã phát tán Ursnif banking Trojan, thường sử dụng các payload phụ như Nymaim, Gootkit, or IcedID. Dựa vào kết quả, chúng tôi kết luận (chỉ ở độ tin cậy ở mức trung bình) chiến dịch này xuất phát từ cùng một tác nhân.

 

Cách bảo vệ

Nguồn tham khảo: https://blog.hackersonlineclub.com/2018/05/new-malware-designs-to-grab-data-from.html?m=1

TIN LIÊN QUAN
  Với việc Docker trở nên phổ biến như một dịch vụ để đóng gói và triển khai các ứng dụng phần mềm, các tác nhân độc hại hay những kẻ phá hoại đang tận dụng cơ hội để nhắm mục tiêu các điểm cuối API bị phơi bày và...
Giới thiệu Phần mềm độc hại (mã độc) có thể gây hại cho bất kỳ hệ thống nào và các trình đóng gói (Packer) giúp phần mềm độc hại đi trước một bước so với phần mềm bảo mật. Nhưng chính xác thì những trình đóng gói Packer làm gì?...
STAMINA là một dự án hợp tác giữa Microsoft và Intel Labs để giải quyết bài toán phát hiện và phân loại mã độc dựa trên cách tiếp cận học sâu (deep learning). Hình 1 – Qui trình thực hiện trong dự án nghiên cứu STAMINA Đây là một dự...