Κακόβουλο λογισμικό ColdStealer

Το κακόβουλο λογισμικό ColdStealer εμπίπτει στην κατηγορία των απειλών πληροφορικής κλοπής που έχουν σχεδιαστεί για τη λήψη ευαίσθητων και ιδιωτικών πληροφοριών από τα συστήματα που μολύνουν. Η απειλή ανακαλύφθηκε για πρώτη φορά από ειδικούς στον τομέα της κυβερνοασφάλειας. Το ColdStealer είναι σε θέση να συλλέγει διάφορες πληροφορίες χρήστη και στη συνέχεια να τις μεταδίδει σε έναν αποκλειστικό διακομιστή Command-and-Control (C2, C&C).

Η αλυσίδα επίθεσης της επιχείρησης ξεκινά με ένα κακόβουλο λογισμικό dropper που θέτει σε κίνδυνο τα στοχευμένα συστήματα. Η απειλή έχει ως αποστολή την παραβίαση της συσκευής, την ανάκτηση του ωφέλιμου φορτίου ColdStealer και, στη συνέχεια, την εκτέλεσή του. Ένας πιθανός φορέας για τη διανομή του σταγονόμετρου είναι μέσω οπλισμένων προγραμμάτων κρακ για δημοφιλή προϊόντα λογισμικού.

Μόλις εγκατασταθεί στο σύστημα, το ColdStealer μπορεί να εξάγει πληροφορίες προγράμματος περιήγησης, συμπεριλαμβανομένων των cookies, αναγνωριστικών, κωδικών πρόσβασης και άλλων. Η απειλή έχει επίσης τη δυνατότητα πρόσβασης σε δεδομένα από εγκατεστημένες επεκτάσεις προγράμματος περιήγησης, πληροφορίες πορτοφολιών κρυπτονομισμάτων που συνήθως αποθηκεύονται στο Μητρώο ή τους Τοπικούς καταλόγους και τους καταλόγους Περιαγωγής, πληροφορίες διακομιστή FTP, συμπεριλαμβανομένης μιας λίστας διακομιστών και σχετικών κωδικών πρόσβασης. Οι απειλητικές λειτουργίες του ColdStealer του επιτρέπουν επίσης να συλλαμβάνει διάφορες πληροφορίες συστήματος, όπως την έκδοση των Windows, τη γλώσσα, τον τύπο της CPU και άλλα. Τέλος, η απειλή είναι σε θέση να αναγνωρίσει τις συμβολοσειρές ή τις επεκτάσεις «πορτοφόλι» που περιέχονται στα αρχεία .txt και .dat. Όλα τα δεδομένα που συλλέγονται συσκευάζονται σε ένα αρχείο ZIP και στη συνέχεια εκχυλίζονται στο C2. Επίσης, μεταδίδονται στο C2 όλα τα σφάλματα που συναντά το ColdStealer ενώ είναι ενεργό στη συσκευή του θύματος.