Ảnh: THREATPOST

Được phát hiện bởi Proofpoint, Vega Stealer được biết là một biến thể của August Stealer, mã độc từng hoành hành các trình duyệt và ứng dụng khác như Skype và Opera.

Ngoài việc ăn cắp thông tin dữ liệu trình duyệt, Vega còn lây lan phần mềm độc hại thông qua Word, Excel, PDF và các tập tin văn bản từ các nguồn bị nhiễm.

Proofpoint cho biết: "Vega đang được phân phối thông qua một chiến dịch email với tiêu đề "Online store developer required" chứa một tập tin đính kèm độc hại có tên "brief.doc".

Khi bấm vào tập tin, nạn nhân sẽ được yêu cầu truy xuất tập lệnh JScript / PowerShell. Việc thực thi tập lệnh sẽ tải xuống Vega Stealer vào thư mục nhạc và được kích hoạt tự động thông qua dòng lệnh."

Cách tiếp cận này không chỉ tương tự với August mà còn khá giống các mã độc khác, điển hình như Ursnif. Tuy nhiên, nếu Ursnif thường tải xuống các tải trọng phụ kèm theo như Nymaim, Gootkit hoặc IcedID thì các mẫu URL đi kèm Vega chỉ yêu cầu truy xuất và thực thi lệnh.

Nhiều chuyên gia cho rằng Vega có thể chỉ được tạo ra cho chiến dịch cụ thể với tầm nhắm mục tiêu khá hẹp, chỉ tập trung tấn công vào lĩnh vực tiếp thị, quảng cáo và PR, cùng với bán lẻ và sản xuất, nhưng điều đó không có nghĩa mã độc này sẽ sớm dừng lại sau khi đạt được mục đích.

Proofpoint nhận định: "Vega được viết bằng .NET, tuy không phải là mã độc phức tạp nhất nhưng rất linh hoạt trong việc đạt được mục tiêu tấn công.

Với cơ chế phân phối rộng rãi, Vega Stealer có tiềm năng phát triển thành mã độc đánh cắp thông tin sừng sỏ, có thể tiếp tục bùng phát mạnh mẽ hơn trong tương lai nếu không kịp ngăn chặn."

Theo Tuổi trẻ