【安全资讯】ColdStealer新型信息窃取器分析

引言

ColdStealer是一种新型恶意软件，可以收集用户信息并将其发送给 C2。ColdStealer可以窃取浏览器信息、加密货币钱包信息等，劫持的目标浏览器包括基于 Chrominum 的多种浏览器。

简况

ColdStealer目前使用 .NET 混淆打包技术，但在早期，ColdStealer 是使用进程空心化和 .NET 加载打包技术构建的。ColdStealer功能简单，因此恶意代码的实际大小只有80KB。ColdStealer 感染过程如下图：

ColdStealer在收集要窃取的信息时，不是以文件格式，而是以ZIP结构存储在内存中。信息采集完成后传输C2时，不会留下文件的痕迹以及任何执行的痕迹，因此可以有效规避检测。

ColdStealer有六个主要功能：

• 窃取浏览器信息
• 窃取加密货币钱包信息
• 文件劫持
• 窃取 FTP 服务器信息
• 窃取系统信息
• 发送异常（错误）信息

劫持的目标浏览器是基于 Chrominum 的多种浏览器，包括Battle.net, Chromium, Google Chrome , Google Chrome (x86), MapleStudio ChromePlus, Iridium, 7Star, CentBrowser, Chedot, Vivaldi, Kometa, Elements, Epic, uCozMedia Uran, Sleipnir5, Citrio, Coowon, Liebao, QIP Surf, Orbitum, Comodo Dragon、Amigo、Torch、Yandex Browser、Comodo、360Browser、Maxthon3、K-Melon、Sputnik、Nichrome、CocCoc、Uran、Chromodo、Atom、BraveSoftware、Microsoft Edge、Nvidia、Steam、CryptoTab。

ColdStealer收集各种系统信息，例如 Windows 版本、使用的语言、CPU 类型、剪贴板数据和执行权限。

总结

虽然ColdStealer 是一种非常简单的信息窃取恶意软件，但用户仍需要小心，因为一旦被感染，用户的主要信息就会泄露给攻击者，并可能造成严重的二次攻击。