CStealer:Chrome密碼竊取器木馬分析
新聞
12-05
研究人員發現一個嘗試竊取Chrome瀏覽器中保存的密碼的木馬——CStealer。雖然密碼竊取木馬很多,但研究人員發現該惡意軟體使用遠程MongoDB資料庫來保存竊取的密碼。
該木馬與其他信息竊取密碼一樣,目標就是竊取Google Chrome密碼管理器中保存的登陸憑證。
目標是Chrome保存的憑證
MalwareHunterTeam團隊發現該木馬後,研究人員James對該木馬進行了進一步分析,發現該密碼將竊取的數據發送到了MongoDB資料庫。一般的信息竊取木馬會將竊取的密碼保存在文件中,然後發送到攻擊者控制的C2伺服器。CStealer直接連接到了遠程MongoDB資料庫, 並用該資料庫來保存竊取的憑證。
為此,惡意軟體中包含硬編碼的MongDB憑證,並使用MongoDB C Driver作為客戶端庫來連接到資料庫。
硬編碼的MongDB憑證
密碼在被竊取後,惡意軟體會連接到資料庫,並保存密碼。下圖是James截獲的流量包,其中含有密碼:
雖然該方法的最終目的是竊取密碼,但也為其他攻擊者打開了獲取受害者憑證許可權的後門。
其他分析該惡意軟體的人員都可以提取硬編碼的憑證,並使用這些硬編碼的憑證來獲取和訪問被竊的憑證。
註:本文翻譯自:https://www.bleepingcomputer.com/news/security/new-chrome-password-stealer-sends-stolen-data-to-a-mongodb-database/