admin / 8 juin 2018

Le nouveau malware Vega Stealer récolte les informations de connexion enregistrées dans Google Chrome et Firefox

Une nouvelle offensive malware a été lancée par des hackers visant les informations financières et les informations de connexion enregistrées à la fois dans les navigateurs Firefox et Google Chrome.

Ce virus, baptisé « Vega Stealer », a été conçu pour viser les entreprises de vente et les industries avec des relations avec le public car elles sont les plus à même d’avoir à faire avec les informations bancaires et financières de leurs clients.

A première vue, Vega Stealer semble être une variante d’un autre virus appelé August Stealer, mais est potentiellement beaucoup plus problématique pour les entreprises.

Les chercheurs en sécurité de chez Proofpoint affirment que le logiciel causera beaucoup plus de dégâts si le ou les hackers utilisent des méthodes plus avancées que les simples campagnes de phishing utilisées pour répandre le virus Vega Stealer.  

Ce que Vega Stealer peut faire

Vega Stealer est codé en .NET comme August Stealer, qui était capable de récupérer les documents sensibles, les identifiants et les détails des comptes de crypto monnaies.

Le virus Vega Stealer s’avère être une version plus évoluée d’August Stealer. Il a des capacités similaires à celles de son prédécesseur mais il dispose aussi d’améliorations telles que la possibilité de voler les identifiants, les clés et autres informations sensibles depuis le navigateur Firefox, ainsi qu’un nouveau protocole de communication réseau.

Depuis le navigateur Chrome, Vega Stealer récolte les profils, les numéros de cartes de crédit, les mots de passe et même les cookies enregistrés. Sur le navigateur Firefox, les fichiers « key3.db » et « key4.db » – qui recueillent les clés spécifiques- et les fichiers « cookies.sqlite » et « logins.json »- qui contiennent les identifiants de connexion et les cookies- sont récupérés avant que Vega Stealer ne passe aux données du système.

En plus d’analyser et d’exfiltrer tous les fichiers du système avec des extensions .xlsx, .xls, .rtf, .doc, .docx, .txt et .pdf, le virus Vega Stealer prend aussi un instantané de l’ordinateur.

Dans leur rapport, les chercheurs de Proofpoint expliquent qu’actuellement, l’offensive cible majoritairement les entreprises, particulièrement celles dans la production, la revente, les relations publiques, le marketing et la publicité.

Vega Stealer se répand via des campagnes de phishing

Aussi sophistiqué que soit cette nouvelle variante d’August Stealer, le vecteur d’attaque pour se propager est le plus basique qui soit. Les emails visent principalement les listes de distribution d’entreprise et certains particuliers chargés de gérer des listes telles que « serviceclient@ », « relationspubliques@ », etc.

Dans ces emails de phishing, on peut trouver une pièce jointe nommée « brief.doc ». Le fichier est en fait un nid de macrovirus malveillants qui se chargent, une fois qu’il est ouvert, de télécharger les fichiers d’exécution du virus Vega Stealer.

Les macrovirus malveillants extraient d’abord un script PowerShell brouillé, qui est la première moitié du payload (charge utile). Une fois exécuté, ce script télécharge le virus Vega Stealer depuis le centre de contrôle et de commande de l’acteur malveillant.

Le payload complet, appelé « ljoyoxu.pkzip », est stocké dans le répertoire « Musique ». Lorsque l’exécutable de Vega Stealer est enfin en place, une ligne de commande lui ordonne de commencer à récolter des informations.

Les chercheurs suspectent le même acteur de menace, bien que cela soit en attente de confirmation

Les chercheurs de Proofpoint croient modérément que les URL et les macrovirus des documents utilisés dans la campagne de Vega Stealer puissent les amener à un acteur de menace relié aussi à des précédentes attaques de malwares dans le domaine financier.

Néanmoins, les découvertes n’appuient pas vraiment cette hypothèse. Alors que les macrovirus de document utilisés ici  sont censés être des macros pour des produits à vendre à n’importe quelle partie intéressée, les schémas URL indiquent le même acteur de menace impliqué dans la distribution du cheval de Troie bancaire Ursnif.

Ce cheval de Troie est couramment utilisé pour télécharger des payloads comme GootKit et IcedID.

D’un autre côté, les macros de document ont déjà été reliés à l’acteur de menace responsable de la diffusion du cheval de Troie Emotet. De ce fait, les chercheurs de Proofpoint ne peuvent affirmer en pleine confiance si le virus Vega Stealer est directement lié à un acteur de menace spécifique.

Pour autant, les chercheurs soupçonnent qu’il puisse être connecté à d’autres acteurs de menaces qu’ils poursuivent.

Pour l’instant, Vega Stealer reste assez inoffensif car la campagne de propagation est assez simple. Selon Proofpoint, il reste encore à voir s’il va devenir une menace courante pour les entreprises.

Ce dont les chercheurs sont sûrs, ce que ce virus a tout le potentiel nécessaire pour évoluer en quelque chose de beaucoup plus difficile à affronter.

FILED UNDER : Non classé

Submit a Comment

Must be required * marked fields.

:*
:*