Зловмисне програмне забезпечення ColdStealer

Зловмисне програмне забезпечення ColdStealer відноситься до категорії загроз інфокраду, призначених для отримання конфіденційної та конфіденційної інформації із заражених ними систем. Загрозу вперше виявили експерти з кібербезпеки. ColdStealer здатний збирати різну інформацію про користувача, а потім передавати її на виділений сервер командування та керування (C2, C&C).

Ланцюжок атаки операції починається зі зловмисного програмного забезпечення, яке скомпрометує цільові системи. Завдання загрози — зламати пристрій, отримати корисне навантаження ColdStealer і потім виконати його. Ймовірним вектором поширення крапельниці є збройні програми для зламування популярних програмних продуктів.

Після встановлення в системі ColdStealer може витягувати інформацію браузера, включаючи файли cookie, ідентифікатори, паролі тощо. Загроза також може отримувати доступ до даних із встановлених розширень браузера, інформації криптовалютних гаманців, яка зазвичай зберігається в реєстрі або локальних каталогах і каталогах роумінгу, інформації FTP-сервера, включаючи список серверів і пов’язані паролі. Загрозливі функції ColdStealer також дозволяють йому отримувати різноманітну системну інформацію, таку як версія Windows, мова, тип процесора тощо. Нарешті, загроза може ідентифікувати рядки або розширення «гаманця», що містяться у файлах .txt і .dat. Усі зібрані дані упаковуються в архів ZIP, а потім ексфільтруються в C2. Також на C2 передаються всі помилки, з якими ColdStealer зустрічається під час активації на пристрої жертви.