一、概述

最近，Proofpoint观察到一项针对营销/广告/公共关系和零售/制造行业的攻击活动，名为Vega Stealer的新恶意软件。该恶意软件具备针对Chrome和Firefox浏览器中保存的凭据和信用卡的窃取功能，以便从受感染的计算机中窃取敏感文档。Vega是August Stealer的一个变体，并有一部分重要的新功能。

二、传播和目标

2018年5月8日，Proofpoint观察并阻止了一个小批量的电子邮件攻击行动，其中包括“需要在线商店开发人员”等主题。有些电子邮件已发送给个人，而其他电子邮件已发送到分发名单，包括info @，clientservice @和publicaffairs @＋目标域名，这是一种可以扩大潜在受害者数量的方法。此消息包含一个名为“brief.doc”的恶意附件，其中包含有下载Vega Stealer载荷的宏。

该攻击行动的定位也很出色。消息被发送到营销/广告/公共关系和零售/制造行业的一小部分公司。

图1:包含宏的文档，启用宏下载 Vega Stealer

值得注意的是，在前一天（5月7日）的相关行动中，我们观察到了几个宏文档，例如下载之前出现的August Stealer恶意软件变体的的“engagement letter.doc”[1]。此行动是相关的，因为文档被发送到一些相同的目标，并且宏从相同的IP地址下载了stealer。使用的主题是：“商品退货”和“我们公司需要从头开始在线商店”。

三、附件分析

Vega Stealer有效载荷是通过包含恶意宏的文档提供的。诱惑文档及随后的网络活动与其他恶意文档和活动（如银行Trojan Ursnif）相似，但本次行动中使用了较新的宏。我们认为这是一种供多名攻击者使用的商品宏。

该宏以两步处理过程获取有效载荷，包括junk函数迭代，同时构建要使用GetObject函数执行的字符串。该字符串是两步过程中的第一个请求（图2）。文档执行的第一个请求将获取混淆的JScript/PowerShell脚本。执行生成的PowerShell脚本会创建第二个请求，然后下载Vega Stealer的可执行载荷。有效载荷保存到受害者机器用户的“音乐”目录中，其文件名为ljoyoxu.pkzip。一旦这个文件被下载并保存，它就会通过命令行自动执行。

图2:下载Vega Stealer payload

四、恶意软件分析

表面上，Vega Stealer是一种简单的有效载荷，但如果进一步开发和分发，可能会产生更持久的影响。由于分布和血统，这种威胁可能会继续演变并成长为常见的威胁。Vega Stealer这个名字源于二进制文件中使用的一个pdb字符串

C:\Users\Willy\source\repos\Vega\Vega\obj\Release\Vega.pdb。

Vega Stealer是用.NET编写的，我们观察到的在野外样本没有包含任何加壳或混淆方法。Vega的目标之一是收集和泄露Google Chrome浏览器保存的数据，其中包括：

· 密码（logins SQLite表包含URL及用户名和密码）

· 已保存的信用卡（credit_cards自动填充表包含名称，到期日和卡号）

· 配置文件（autofill_profile_name表包含名字和姓氏）

· Cookies

图3: 从 Chrome浏览器中窃取信用卡及其他信息的函数

Vega还收集Mozilla Firefox浏览器中的特定文件：\\Mozilla\\Firefox\\Profiles目录中的key3.db、key4.db、logins.json及cookies.sqlite。根据Mozilla文档，这些文件存储各种密码和密钥。

图4: 将从Firefox浏览器中获取的数据发送到 C&C

Vega还使用以下函数截取被感染机器的屏幕截图：

图5: 获取屏幕截图的函数

除了这些功能之外，Vega还会根据硬编码字符串搜索受感染用户的桌面和子目录中以“.doc，.docx，.txt，.rtf，.xls，.xlsx，.pdf”结尾的所有文件。这些文件也将被逐个发送到远程命令和控制（C&C）服务器（图6）。

图6: 收集和发送具有特定后缀文件的部分代码

Vega Stealer使用HTTP协议与硬编码的C＆C服务器进行通信。在C＆C通信中使用了两个参数，在请求的客户端主体中'f ='是文件名，'c ='是base64编码的数据。与C＆C的网络通信过程如下：

· 如果存在，发送Mozilla Firefox文件key3.db、key4.db、logins.json和cookies.sqlite

· 发送截图文件screenshot.png（桌面截图）

· 发送包含从Chrome中窃取数据文件chrome_pw.txt;如果没有找到，'c ='参数将为空

· 如果Vega发现任何与“doc | docx | txt | rtf | xls | xlsx | pdf”扩展名匹配的文档，则存在进一步的网络请求

图7: Vega Stealer 发送截屏数据到C&C服务器

图8: Vega Stealer传输窃取的Mozilla Firefox数据 

五、溯源

本次行动中使用的文档宏是一种商品宏，我们认为这种宏被出售并被多个攻击者使用，其中包括传播Emotet银行木马的攻击者。但是，宏获取有效载荷的URL模式与我们正在跟踪的Ursnif银行木马所使用的URL模式相同，后者经常下载Nymaim，Gootkit或IcedID等次要有效载荷。因此，我们将此行动归因于具有中等信度的同一个攻击者。

对于Vega Stealer本身，有很多与August Stealer的链接。它是这个之前已记录在案的恶意软件的精简版，增加了一些新功能。具体的相似性和差异包括：

· 两者都是用.NET编写的并且共享类似的类

· 使用“doc | docx | txt | rtf | xls | xlsx | pdf”扩展名获取更多文档的方式与8August类似;然而August在恶意软件中没有硬编码，而是在C＆C面板中配置

· Vega中的Chrome浏览器窃取功能是August代码的一部分

· August也从其他浏览器和应用程序中窃取，如Skype和Opera

· Vega的新功能包括新的网络通信协议和扩展的Firefox窃取功能

六、总结

Vega是否是针对这次特定行动的August Stealer的特别修改版，以及在未来还会不会更广泛的使用，仍有待观察。

Vega Stealer并非是当今流传的最复杂或最隐秘的恶意软件，但它却是攻击者实现犯罪目标灵活性最强的恶意软件。由于传播机制类似于更广泛分布和成熟的威胁行动，因此Vega Stealer有可能演变成常见的窃取者。我们将继续监测这种在野外传播的威胁。

参考

[1] https://www.proofpoint.com/us/threat-insight/post/august-in-december-new-information-stealer-hits-the-scene

[2] https://support.mozilla.org/en-US/kb/recovering-important-data-from-an-old-profile#w_passwords

IOCs