Malware ColdStealer

Malware-ul ColdStealer se încadrează în categoria amenințărilor infostealer concepute pentru a obține informații sensibile și private de la sistemele pe care le infectează. Amenințarea a fost descoperită pentru prima dată de experții în securitate cibernetică. ColdStealer este capabil să colecteze diverse informații despre utilizator și apoi să le transmită către un server dedicat Command-and-Control (C2, C&C).

Lanțul de atac al operațiunii începe cu un program malware dropper care compromite sistemele vizate. Amenințarea are sarcina de a sparge dispozitivul, de a prelua încărcătura utilă ColdStealer și apoi de a o executa. Un vector probabil pentru distribuția dropperului este prin intermediul programelor de crack armate pentru produse software populare.

Odată stabilit în sistem, ColdStealer poate extrage informații despre browser, inclusiv cookie-uri, ID-uri, parole și multe altele. De asemenea, amenințarea este capabilă să acceseze date din extensiile de browser instalate, informații despre portofelele criptomonede stocate de obicei în Registrul sau directoarele Local și Roaming, informații despre serverul FTP, inclusiv o listă de servere și parole asociate. Funcțiile amenințătoare ale ColdStealer îi permit, de asemenea, să capteze diverse informații de sistem, cum ar fi versiunea Windows, limba, tipul procesorului și multe altele. În cele din urmă, amenințarea este capabilă să identifice șirurile sau extensiile „portofel” conținute în fișierele .txt și .dat. Toate datele culese sunt împachetate într-o arhivă ZIP și apoi exfiltrate în C2. De asemenea, către C2 sunt transmise toate erorile întâlnite de ColdStealer în timp ce este activ pe dispozitivul victimei.