【安全资讯】ColdStealer新型信息窃取器分析
引言
ColdStealer是一种新型恶意软件,可以收集用户信息并将其发送给 C2。ColdStealer可以窃取浏览器信息、加密货币钱包信息等,劫持的目标浏览器包括基于 Chrominum 的多种浏览器。
简况
ColdStealer目前使用 .NET 混淆打包技术,但在早期,ColdStealer 是使用进程空心化和 .NET 加载打包技术构建的。ColdStealer功能简单,因此恶意代码的实际大小只有80KB。ColdStealer 感染过程如下图:
ColdStealer在收集要窃取的信息时,不是以文件格式,而是以ZIP结构存储在内存中。信息采集完成后传输C2时,不会留下文件的痕迹以及任何执行的痕迹,因此可以有效规避检测。
ColdStealer有六个主要功能:
- 窃取浏览器信息
- 窃取加密货币钱包信息
- 文件劫持
- 窃取 FTP 服务器信息
- 窃取系统信息
- 发送异常(错误)信息
劫持的目标浏览器是基于 Chrominum 的多种浏览器,包括Battle.net, Chromium, Google Chrome , Google Chrome (x86), MapleStudio ChromePlus, Iridium, 7Star, CentBrowser, Chedot, Vivaldi, Kometa, Elements, Epic, uCozMedia Uran, Sleipnir5, Citrio, Coowon, Liebao, QIP Surf, Orbitum, Comodo Dragon、Amigo、Torch、Yandex Browser、Comodo、360Browser、Maxthon3、K-Melon、Sputnik、Nichrome、CocCoc、Uran、Chromodo、Atom、BraveSoftware、Microsoft Edge、Nvidia、Steam、CryptoTab。
ColdStealer收集各种系统信息,例如 Windows 版本、使用的语言、CPU 类型、剪贴板数据和执行权限。
总结
虽然ColdStealer 是一种非常简单的信息窃取恶意软件,但用户仍需要小心,因为一旦被感染,用户的主要信息就会泄露给攻击者,并可能造成严重的二次攻击。