CStealer：Chrome密碼竊取器木馬分析

研究人員發現一個嘗試竊取Chrome瀏覽器中保存的密碼的木馬——CStealer。雖然密碼竊取木馬很多，但研究人員發現該惡意軟體使用遠程MongoDB資料庫來保存竊取的密碼。

該木馬與其他信息竊取密碼一樣，目標就是竊取Google Chrome密碼管理器中保存的登陸憑證。

目標是Chrome保存的憑證

MalwareHunterTeam團隊發現該木馬後，研究人員James對該木馬進行了進一步分析，發現該密碼將竊取的數據發送到了MongoDB資料庫。一般的信息竊取木馬會將竊取的密碼保存在文件中，然後發送到攻擊者控制的C2伺服器。CStealer直接連接到了遠程MongoDB資料庫， 並用該資料庫來保存竊取的憑證。

為此，惡意軟體中包含硬編碼的MongDB憑證，並使用MongoDB C Driver作為客戶端庫來連接到資料庫。

硬編碼的MongDB憑證

密碼在被竊取後，惡意軟體會連接到資料庫，並保存密碼。下圖是James截獲的流量包，其中含有密碼：

雖然該方法的最終目的是竊取密碼，但也為其他攻擊者打開了獲取受害者憑證許可權的後門。

其他分析該惡意軟體的人員都可以提取硬編碼的憑證，並使用這些硬編碼的憑證來獲取和訪問被竊的憑證。

註：本文翻譯自：https://www.bleepingcomputer.com/news/security/new-chrome-password-stealer-sends-stolen-data-to-a-mongodb-database/

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！