ColdStealer Malware

De ColdStealer-malware valt in de categorie van infostealer-bedreigingen die zijn ontworpen om gevoelige en persoonlijke informatie te verkrijgen van de systemen die ze infecteren. De dreiging werd voor het eerst ontdekt door cybersecurity-experts. ColdStealer is in staat om verschillende gebruikersinformatie te verzamelen en deze vervolgens door te sturen naar een speciale Command-and-Control (C2, C&C)-server.

De aanvalsketen van de operatie begint met een dropper-malware die de gerichte systemen compromitteert. De dreiging is belast met het doorbreken van het apparaat, het ophalen van de ColdStealer-payload en het vervolgens uitvoeren. Een waarschijnlijke vector voor de distributie van de druppelaar is via bewapende crack-programma's voor populaire softwareproducten.

Eenmaal op het systeem ingesteld, kan ColdStealer browserinformatie extraheren, waaronder cookies, ID's, wachtwoorden en meer. De dreiging heeft ook toegang tot gegevens van geïnstalleerde browserextensies, informatie over cryptocurrency-portefeuilles die gewoonlijk worden opgeslagen in het register of de lokale en roaming-directory's, FTP-serverinformatie, inclusief een lijst met servers en bijbehorende wachtwoorden. Met de bedreigende functies van ColdStealer kan het ook verschillende systeeminformatie vastleggen, zoals de Windows-versie, taal, CPU-type en meer. Ten slotte kan de dreiging 'wallet'-strings of extensies in .txt- en .dat-bestanden identificeren. Alle verzamelde gegevens worden verpakt in een ZIP-archief en vervolgens geëxfiltreerd naar de C2. Ook verzonden naar de C2 zijn alle fouten die ColdStealer tegenkomt terwijl ze actief zijn op het apparaat van het slachtoffer.