回归最本质的信息安全

;

新的恶意软件——Vega Stealer,可从受感染的计算机中窃取敏感文档

2018年5月17日发布

62,202
2
0

导语:Vega Stealer并非是当今流传的最复杂或最隐秘的恶意软件,但它却是攻击者实现犯罪目标灵活性最强的恶意软件。

一、概述

最近,Proofpoint观察到一项针对营销/广告/公共关系和零售/制造行业的攻击活动,名为Vega Stealer的新恶意软件。该恶意软件具备针对Chrome和Firefox浏览器中保存的凭据和信用卡的窃取功能,以便从受感染的计算机中窃取敏感文档。Vega是August Stealer的一个变体,并有一部分重要的新功能。

二、传播和目标

2018年5月8日,Proofpoint观察并阻止了一个小批量的电子邮件攻击行动,其中包括“需要在线商店开发人员”等主题。有些电子邮件已发送给个人,而其他电子邮件已发送到分发名单,包括info @,clientservice @和publicaffairs @+目标域名,这是一种可以扩大潜在受害者数量的方法。此消息包含一个名为“brief.doc”的恶意附件,其中包含有下载Vega Stealer载荷的宏。

该攻击行动的定位也很出色。消息被发送到营销/广告/公共关系和零售/制造行业的一小部分公司。

图1:包含宏的文档,启用宏下载 Vega Stealer

值得注意的是,在前一天(5月7日)的相关行动中,我们观察到了几个宏文档,例如下载之前出现的August Stealer恶意软件变体的的“engagement letter.doc”[1]。此行动是相关的,因为文档被发送到一些相同的目标,并且宏从相同的IP地址下载了stealer。使用的主题是:“商品退货”和“我们公司需要从头开始在线商店”。

三、附件分析

Vega Stealer有效载荷是通过包含恶意宏的文档提供的。诱惑文档及随后的网络活动与其他恶意文档和活动(如银行Trojan Ursnif)相似,但本次行动中使用了较新的宏。我们认为这是一种供多名攻击者使用的商品宏。

该宏以两步处理过程获取有效载荷,包括junk函数迭代,同时构建要使用GetObject函数执行的字符串。该字符串是两步过程中的第一个请求(图2)。文档执行的第一个请求将获取混淆的JScript/PowerShell脚本。执行生成的PowerShell脚本会创建第二个请求,然后下载Vega Stealer的可执行载荷。有效载荷保存到受害者机器用户的“音乐”目录中,其文件名为ljoyoxu.pkzip。一旦这个文件被下载并保存,它就会通过命令行自动执行。

图2:下载Vega Stealer payload

四、恶意软件分析

表面上,Vega Stealer是一种简单的有效载荷,但如果进一步开发和分发,可能会产生更持久的影响。由于分布和血统,这种威胁可能会继续演变并成长为常见的威胁。Vega Stealer这个名字源于二进制文件中使用的一个pdb字符串

C:\Users\Willy\source\repos\Vega\Vega\obj\Release\Vega.pdb。

Vega Stealer是用.NET编写的,我们观察到的在野外样本没有包含任何加壳或混淆方法。Vega的目标之一是收集和泄露Google Chrome浏览器保存的数据,其中包括:

· 密码(logins SQLite表包含URL及用户名和密码)

· 已保存的信用卡(credit_cards自动填充表包含名称,到期日和卡号)

· 配置文件(autofill_profile_name表包含名字和姓氏)

· Cookies

图3: 从 Chrome浏览器中窃取信用卡及其他信息的函数

Vega还收集Mozilla Firefox浏览器中的特定文件:\\Mozilla\\Firefox\\Profiles目录中的key3.db、key4.db、logins.json及cookies.sqlite。根据Mozilla文档,这些文件存储各种密码和密钥。

图4: 将从Firefox浏览器中获取的数据发送到 C&C

Vega还使用以下函数截取被感染机器的屏幕截图:

图5: 获取屏幕截图的函数

除了这些功能之外,Vega还会根据硬编码字符串搜索受感染用户的桌面和子目录中以“.doc,.docx,.txt,.rtf,.xls,.xlsx,.pdf”结尾的所有文件。这些文件也将被逐个发送到远程命令和控制(C&C)服务器(图6)。

图6: 收集和发送具有特定后缀文件的部分代码

Vega Stealer使用HTTP协议与硬编码的C&C服务器进行通信。在C&C通信中使用了两个参数,在请求的客户端主体中'f ='是文件名,'c ='是base64编码的数据。与C&C的网络通信过程如下:

· 如果存在,发送Mozilla Firefox文件key3.db、key4.db、logins.json和cookies.sqlite

· 发送截图文件screenshot.png(桌面截图)

· 发送包含从Chrome中窃取数据文件chrome_pw.txt;如果没有找到,'c ='参数将为空

· 如果Vega发现任何与“doc | docx | txt | rtf | xls | xlsx | pdf”扩展名匹配的文档,则存在进一步的网络请求

图7: Vega Stealer 发送截屏数据到C&C服务器

图8: Vega Stealer传输窃取的Mozilla Firefox数据 

五、溯源

本次行动中使用的文档宏是一种商品宏,我们认为这种宏被出售并被多个攻击者使用,其中包括传播Emotet银行木马的攻击者。但是,宏获取有效载荷的URL模式与我们正在跟踪的Ursnif银行木马所使用的URL模式相同,后者经常下载Nymaim,Gootkit或IcedID等次要有效载荷。因此,我们将此行动归因于具有中等信度的同一个攻击者。

对于Vega Stealer本身,有很多与August Stealer的链接。它是这个之前已记录在案的恶意软件的精简版,增加了一些新功能。具体的相似性和差异包括:

· 两者都是用.NET编写的并且共享类似的类

· 使用“doc | docx | txt | rtf | xls | xlsx | pdf”扩展名获取更多文档的方式与8August类似;然而August在恶意软件中没有硬编码,而是在C&C面板中配置

· Vega中的Chrome浏览器窃取功能是August代码的一部分

· August也从其他浏览器和应用程序中窃取,如Skype和Opera

· Vega的新功能包括新的网络通信协议和扩展的Firefox窃取功能

六、总结

Vega是否是针对这次特定行动的August Stealer的特别修改版,以及在未来还会不会更广泛的使用,仍有待观察。

Vega Stealer并非是当今流传的最复杂或最隐秘的恶意软件,但它却是攻击者实现犯罪目标灵活性最强的恶意软件。由于传播机制类似于更广泛分布和成熟的威胁行动,因此Vega Stealer有可能演变成常见的窃取者。我们将继续监测这种在野外传播的威胁。

参考

[1] https://www.proofpoint.com/us/threat-insight/post/august-in-december-new-information-stealer-hits-the-scene

[2] https://support.mozilla.org/en-US/kb/recovering-important-data-from-an-old-profile#w_passwords

IOCs

微信截图_20180515142336.png 

本文翻译自:https://www.proofpoint.com/us/threat-insight/post/new-vega-stealer-shines-brightly-targeted-campaign如若转载,请注明原文地址: http://www.4hou.com/system/11677.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

TRex

这个人很懒,什么也没留下

发私信

发表评论

    echo 2018-05-17 11:21

    哪里看出来是最隐秘最复杂了呢,cobaltstrike生成的都比他强

      TRex 2018-05-20 07:31

      回复 @echo Vega Stealer并非是当今最复杂或最隐秘的恶意软件,但它却是攻击者实现犯罪目标灵活性最强的恶意软件。