Nuevo malware ataca navegadores Chrome y Firefox

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Investigadores de seguridad privados han descubierto un nuevo malware desarrollado para robar las credenciales guardadas de la tarjeta de crédito y el acceso desde los navegadores Chrome y Firefox.

Además de la capacidad de robo de credenciales, el malware también roba documentos confidenciales del dispositivo objetivo.
Denominado Vega Stealer por los investigadores; el malware es una variante de August Stealer que se descubrió en diciembre de 2016 robando contraseñas guardadas, documentos y otros datos sensibles de los navegadores Skype, Opera, Chrome y Firefox.
Vega Stealer se distribuye a través de una campaña de correo electrónico no deseado con diferentes líneas de asunto, por ejemplo “Se requiere desarrollador de la tienda en línea”.
El correo electrónico viene con un documento adjunto de Microsoft llamado “brief.doc” que contiene macros maliciosas que una vez habilitadas descarga la carga útil de Vega Stealer.
Una vez que Vega Stealer infecta un sistema específico, comienza a robar datos y busca en el escritorio y los subdirectorios de la víctima los archivos en diferentes formatos, incluidos .doc, .docx, .txt, .rtf, .xls, .xlsx, .pdf. “Esto es hecho para la exfiltración luego de que el malware envía los datos robados a un servidor remoto de control y comando (C & C).

El malware Vega Stealer roba contraseñas y datos de tarjetas de Chrome y Firefox
Además, al igual que su predecesor, el malware Vega Stealer también está escrito en .NET y comparte clases similares.

Sin embargo, August no tenía este código fijo en el malware, sino que permite configurar en el panel de C & C.
Además, la funcionalidad de robo del navegador Chrome en Vega es un subconjunto del código de August; August también se robó de otros navegadores y aplicaciones, como Skype y Opera.
La nueva funcionalidad de Vega incluye un nuevo protocolo de comunicación de red y una mayor funcionalidad de robo de Firefox.
Por ahora, el objetivo principal de Vega Stealer es la publicidad, el marketing, las relaciones públicas, el comercio minorista y el sector manufacturero.
Sin embargo, los investigadores creen que las macros ofuscadas utilizadas en esta campaña están en venta y utilizadas por no uno sino por múltiples actores de amenazas, incluidos los que están detrás del troyano de la banca Emotet.
“La macro de documentos utilizada en esta campaña es una macro de productos básicos que creemos que está a la venta y utilizada por múltiples actores, incluido el actor de amenaza que propaga el troyano de la banca Emotet”, dijeron los investigadores.
“Sin embargo, los patrones de URL a partir de los cuales la macro recupera la carga útil son los mismos que los utilizados por un actor que estamos rastreando que distribuye el troyano bancario Ursnif, que a menudo descarga cargas secundarias como Nymaim, Gootkit o IcedID.
Como resultado, atribuimos esta campaña al mismo actor con una confianza media.
“Aunque Vega Stealer no es el malware más complejo o sigiloso en circulación hoy en día, demuestra la flexibilidad del malware, los autores y los actores para lograr objetivos criminales”, dijeron los investigadores detrás de esta investigación.
“Debido a que el mecanismo de entrega es similar a las amenazas más ampliamente distribuidas y maduras, Vega Stealer tiene el potencial de convertirse en un ladrón común”.
“Vega Stealer podría tener impactos más duraderos si se desarrollara y distribuyera más. Debido a la distribución y el linaje, esta amenaza puede seguir evolucionando y creciendo “, concluyeron los investigadores.
Para su seguridad, yo le aconsejo evitar hacer clic en enlaces desconocidos y descargar archivos adjuntos enviados por usuarios anónimos, eso ya lo sabe pero nunca está demas reiterarlo una y otra vez.
Además, escanee archivos sospechosos en VirusTotal y mantenga su sistema con todos los parches instalados para evitar problemas.

 

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS