سرقت اطلاعات ذخيره‌‌شده‌ی مرورگرهای Chrome و Firefox توسط بدافزار Vega Stealer

چهارشنبه ۲۶ اردیبهشت ۱۳۹۷
شرکت Proofpoint، بدافزار جدیدی به نام Vega Stealer را کشف است که اطلاعات ذخیره‌شده در مرورگرهای Chrome و Firefox را به ‌سرقت می‌برد.
مرکز آپا شریف
SUT-APA-LOGO

Proofpoint، عرضه‌کننده‌ی امنیت رایانامه، بدافزار جدیدی به نام Vega Stealer را مشاهده و مسدود کرده است که اعتبارنامه‌ها و اطلاعات کارت اعتباری و اطلاعات نمایه‌ی ذخیره‌شده در مرورگرهای Chrome و Firefox را به ‌سرقت می‌برد. این بدافزار برای سرقت اطلاعات حساس از رایانه‌های آلوده نیز استفاده می‌شود. این کمپین کوچک سرقت اطلاعات که دارای قابلیت بزرگ‌ترشدن است، شرکت‌های خرده‌فروشی و تولیدی را هدف قرار داده است و لیستی از شرکت‌های بازاریابی، تبلیغاتی و روابط عمومی را نیز انتخاب کرده است.
به نظر می‌‌رسد Vega تغییریافته‌ی August Stealer باشد که در سال 2016 به طور گسترده‌ای توسط یک عامل تهدید مرتبط با تروجان بانکداری Ursnif، توزیع شده بود. این تروجان اغلب محتواهای ثانویه‌ای مانند Nymaim، Gootkit یا IcedID را دانلود می‌کند که همه‌ی آن‌ها خانواده‌های بدافزاری هستند که همچنان فعالانه در حال توسعه هستند.
Vega علاوه ‌بر سرقت اطلاعات مرورگر، همانند Aygust می‌تواند فایل‌‌های متنی، Word، Excel، PDF را از ماشین‌های آلوده استخراج کند. همچنین، قابلیت سرقت از مرورگر Chrome در Vega زیرمجموعه‌ای از کد August است؛ August از برنامه‌ها و مرورگرهای دیگر، همچون Skype و Opera نیز سرقت اطلاعاتی می‌کرد. قابلیت جدید Vega شامل پروتکل جدید ارتباط شبکه و گسترش قابلیت سرقت Firefox است. طبق مشاهدات محققان ProofPoint، بدافزار Vega از طریق رایانامه‌ای کم‌حجم با عناوینی همچون “Online store developer required” به مجموعه‌ی محدودی از شرکت‌ها در صنایع هدف ارسال می‌شود. این پیام‌ها حاوی پیوستی به نام “brief.doc” به همراه ماکروهایی است که Vega را دانلود می‌کنند. عامل تهدید، این رایانامه‌های حاوی پیوست مخرب را علاوه بر اشخاص، به لیست‌های توزیعی همچون “info@” و “publicaffairs@” به‌منظور افزایش تعداد قربانیان بالقوه در حوزه‌های هدف ارسال می‌کند.
به گفته‌ی محققان، ماکروها محتواها را در دو مرحله بازیابی می‌کنند. در مرحله‌ی اول، سند، درخواستی را اجرا می‌کند که یک اسکریپت JScript/PowerShell مبهم را بازیابی می‌کند. اجرای این اسکریپت، درخواست دوم را ایجاد می‌کند. این درخواست منجر به دانلود Vega Stealer در مسیر music کاربر می‌شود. سپس این بدافزار به طور خودکار از طریق خط فرمان اجرا می‌شود.

به گفته‌ی Kevin Epstain، معاون رییس تحقیق تهدید در Proofpoint، انگیزه‌ی عامل تهدید از هدف قراردادن، نامشخص است. به گفته‌ی او، کمپین‌هایی با این اندازه معمولاً آزمایشی یا تلاشی هدفمند هستند. آنچه سازمان‌ها باید درنظر داشته باشند این است که Vega Stealer قادر به سرقت اطلاعات متنوعی از داده‌های ذخیره‌شده‌ در مرورگرها یا سیستم‌های آلوده است.
Vega در شکل فعلی خود پیچیده نیست و هیچ روش ابهام‌سازی یا بسته‌بندی را به‌منظور جلوگیری از شناسایی‌شدن به ‌کار نمی‌گیرد. این بدافزار برای سرقت گذرواژه‌ها، کوکی‌ها، اطلاعات نمایه و اطلاعات کارت اعتباری ذخیره‌شده از مرورگرها طراحی شده است. همچنین می‌تواند میزکار و زیرشاخه‌های رایانه‌ی آلوده را برای اسناد Word، صفحه گسترده‌ها و فایل‌های PDF جستجو کند. این بدافزار با یک کارگزار کنترل و فرمان (C&C) ازراه‌دور که کدگذاری شده است، ارتباط برقرار می‌کند و داده‌های سرقتی را به آن ارسال می‌کند.
به گفته‌‌ی Proofpoint، آنچه Vega Stealer را مشکل‌ساز می‌کند، اصل و نسب آن است. لازم است سازمان‌هایی که در بخش هدف قرار دارند مراقب Vega باشند. اگرچه این بدافزار در شکل فعلی خود پیچیده نیست، اما قابلیت این را دارد که در آینده به تهدید بزرگتری تبدیل شود.
حفاظت از دروازه‌های رایانامه، حفاظت از شبکه به‌منظور شناسایی ارتباطات C&C و استخراج داده‌ها و حفاظت از پایانه‌ها همگی به حفظ امنیت سازمان‌ها از این‌گونه تهدیدات کمک می‌کند.