【安全资讯】ColdStealer新型信息窃取器分析

猎影实验室 2022-02-24 06:47:17 3617人浏览

引言

ColdStealer是一种新型恶意软件,可以收集用户信息并将其发送给 C2。ColdStealer可以窃取浏览器信息、加密货币钱包信息等,劫持的目标浏览器包括基于 Chrominum 的多种浏览器。

 

简况

ColdStealer目前使用 .NET 混淆打包技术,但在早期,ColdStealer 是使用进程空心化和 .NET 加载打包技术构建的。ColdStealer功能简单,因此恶意代码的实际大小只有80KB。ColdStealer 感染过程如下图:

 

ColdStealer在收集要窃取的信息时,不是以文件格式,而是以ZIP结构存储在内存中。信息采集完成后传输C2时,不会留下文件的痕迹以及任何执行的痕迹,因此可以有效规避检测。

 

ColdStealer有六个主要功能:

  • 窃取浏览器信息
  • 窃取加密货币钱包信息
  • 文件劫持
  • 窃取 FTP 服务器信息
  • 窃取系统信息
  • 发送异常(错误)信息

 

劫持的目标浏览器是基于 Chrominum 的多种浏览器,包括Battle.net, Chromium, Google Chrome , Google Chrome (x86), MapleStudio ChromePlus, Iridium, 7Star, CentBrowser, Chedot, Vivaldi, Kometa, Elements, Epic, uCozMedia Uran, Sleipnir5, Citrio, Coowon, Liebao, QIP Surf, Orbitum, Comodo Dragon、Amigo、Torch、Yandex Browser、Comodo、360Browser、Maxthon3、K-Melon、Sputnik、Nichrome、CocCoc、Uran、Chromodo、Atom、BraveSoftware、Microsoft Edge、Nvidia、Steam、CryptoTab。

 

ColdStealer收集各种系统信息,例如 Windows 版本、使用的语言、CPU 类型、剪贴板数据和执行权限。

 

总结

虽然ColdStealer 是一种非常简单的信息窃取恶意软件,但用户仍需要小心,因为一旦被感染,用户的主要信息就会泄露给攻击者,并可能造成严重的二次攻击。

失陷指标(IOC)45
ColdStealer 信息窃取器 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。