CStealer è un nuovo Trojan mira macchine Windows che cerca di rubare le password memorizzate in Google Chrome.
Naturalmente, questo non è il primo caso di una tale Trojan essere scoperti in natura. Tuttavia, ciò che è nuovo è il fatto che CStealer utilizza un database remoto MongoDB per riporre le password rubate.
Il malware è stato scoperto da MalwareHunterTeam e analizzati da un ricercatore sicurezza informatica denominata Giacomo.
CStealer - Panoramica tecnica
Ciò che distingue a parte questa password-stealing Trojan da altre minacce simili è il fatto che si carica le password raccolte da Chrome a un database MongoDB remota. Il comportamento abituale di tale Trojan sarebbe quello di compilare i dati rubati in un file, e poi inviarlo a un server di comando e controllo controllato da parte degli operatori di malware.
Come funziona la comunicazione con il database avvengono MongoDB?
CStealer include hardcoded credenziali MongoDB e utilizza il driver di MongoDB C come una libreria client per la connessione al database. Cybersecurity ricercatore James testato questo e ha concluso che quando il Trojan raccoglie le password Chrome, si connette al database remoto con l'idea di tenerli per il successivo recupero.
Questa tecnica fa servire la borsa di password rubare ma nel frattempo, si crea un'opportunità per gli altri aggressori di ottenere l'accesso alle credenziali rubate. Infatti, chiunque analizzando il Trojan in grado di recuperare le credenziali hardcoded e li usa per ottenere l'accesso ai dati rubati.
NOTA. Se si sospetta che siete stati infettati da CStealer, è possibile fare riferimento al nostro Guida alla rimozione CStealer.