مجهر التقنية

برمجيات Vega Stealer الخبيثة تسرق البيانات المصرفية و الحسابات من متصفح كروم و فايرفوكس

Technosiya © 2018

900مشاهدات

اكتشف الباحثون برنامجًا جديدًا للبرمجيات الخبيثة يسمى Vega Stealer يقال إنه صُمم لحصد التاريخ المالي من بيانات الاعتماد المحفوظة من متصفحي Google Chrome و Mozilla Firefox. البرمجيات الخبيثة هي نوع آخر من البرامج الخبيثة المشفرة التي تقوم بسرقة بيانات الاعتماد والمستندات الحساسة ومحافظ التشفير المخفية والتفاصيل الأخرى المخزنة في المستعرضين. اعتبارا من الآن، لا يتم استخدام Vega Stealer إلا في حملات التصيد الصغيرة، ولكن يعتقد الباحثون أن البرمجيات الخبيثة يمكن أن تؤدي إلى هجمات كبيرة على المستوى التنظيمي.

 

وفقًا لباحثين من Proofpoint، تم اكتشاف أن الحملة تستهدف التسويق/الإعلان/العلاقات العامة، وصناعات التجزئة/التصنيع باستخدام برامج ضارة جديدة. في 8 مايو من هذا العام، لاحظ الباحثون وحظروا حملة بريد إلكتروني ذات حجم منخفض بمواضيع مثل “مطور المتجر الإلكتروني المطلوب”. يحتوي البريد الإلكتروني على مرفق باسم “brief.doc” يحتوي على وحدات ماكرو ضارة تقوم بتنزيل برمجيات Vega Stealer الخبيثة. وقالوا إنه في حين تم إرسال بعض الرسائل الإلكترونية إلى الأفراد، تم إرسال البعض الآخر إلى قوئم البريد الالكتروني المخصص مثل “[email protected]” و “[email protected]” و “[email protected]”. إويعتبر هذا النهج الجديد طريقة مؤدية إلى تضخيم عدد ضحايا البرمجيات الخبيثة.

 

يقال إن Vega Stealer Ransomware الجديد يسعى إلى تحقيق أهداف خاصة في مجالات التسويق والإعلان والعلاقات العامة وصناعات التجزئة/التصنيع. بمجرد تنزيل المستند وفتحه، يتم بدء عملية تنزيل في خطوتين. “يقوم الطلب الأول الذي تم تنفيذه بواسطة المستند باسترداد نص تشفير JScript/PowerShell. وقال التقرير إن أوامر البرنامج النصي الناشئ PowerShell يخلق الطلب الثاني، والذي يقوم بدوره بتنزيل البرمجيات القابلة للتنفيذ من Vega Stealer. وأضاف: “يتم حفظ البرمجيات الخبيثة في جهاز الضحية ضمن مجلد “الموسيقى” للمستخدم تحت اسم “ljoyoxu.pkzip “. بمجرد تنزيل هذا الملف وحفظه، يتم تنفيذه تلقائيًا عبر موجه الأوامر.

 

تمت كتابة Vega Stealer ضمن إطار دوت نت البرمجي من مايكروسوفت، ويهدف إلى سرقة بيانات الاعتماد المحفوظة مثل كلمات المرور وبطاقات الائتمان المحفوظة والملفات الشخصية وملفات تعريف الارتباط ومعلومات الدفع في Google Chrome. وفي متصفح فايرفوكس، تحصد البرامج الضارة ملفات محددة تشمل “key3.db” و “key4.db” و “logins.json” و “cookies.sqlit” التي تخزن كلمات مرور ومفاتيح مختلفة.

 

ومن المثير للاهتمام، يستمر Vega Stealer في الخلفية “تعمل بشكل تلقائي عند تشغيل الجهاز”. ويقوم بالتقاط لقطات شاشة للكمبيوتر المصاب ويقوم بفحص أي ملفات على النظام تنتهي بـ .doc أو .docx أو .txt أو .rtf أو .xls أو .xlsx أو .pdf من أجل سرقة المعلومات.

 

يدعي الباحثون أن مستندات ماكرو وعناوين URL التي تتضمن برمجيات خبيثة و التي تمت مشاركتها في الحملة توحي بأن نفس المصدر هو المسؤول عن الحملات التي تنشر البرامج الضارة المالية، ولا يمكنهم أن ينسبوا Vega Stealer إلى أي مجموعة محددة، فقد تمكنوا من ربط هذه البرامج الضارة بأنواع أخرى يتم استخدامها الآن. قالوا أن الماكرو الضار متاح للبيع ويتم استخدامه من قبل الهكر عن طريق برمجية طروادة. في نفس الوقت، فإن أنماط عناوين URL التي يسترجع منها الماكرو الحمولة “الحوسبة” هي نفسها التي يستخدمها مصدر هذه البرمجيات الذي يوزع برمجية Ursnif، والتي غالباً ما تقوم بتنزيل حمولات ثانوية مثل Nymaim أو Gootkit أو IcedID ، كما قال الباحثون.

 

بينما لا يعتبر Vega Stealer أكثر البرامج الضارة انتشارًا في أيامنا هذه، إلا أنه يبرهن على مرونة البرامج الضارة والمؤلفين والممثلين لتحقيق الأهداف الإجرامية.

 

من أجل أن تكون آمناً، قال أنكوش جوهر، مدير في Infosec Ventures، في بيان صحفي، “يجب على المنظمات أن تأخذ الوعي الإلكتروني بجدية وأن تتأكد من أنها تدرب المستهلكين والموظفين بما يمكن أن يفعله المتسللون الخبيثون وكيف يمكنهم البقاء في مأمن من هذه الهجمات. إذا كان هناك نظام واحد مخترقاً فإنه يكفي لتهديد أمان الشبكة بالكامل المرتبطة بهذا النظام.”