• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

CStealer: Chrome密码窃取器木马分析


This Wind

Recommended Posts

研究人员发现一个尝试窃取Chrome浏览器中保存的密码的木马——CStealer。虽然密码窃取木马很多,但研究人员发现该恶意软件使用远程MongoDB数据库来保存窃取的密码。

CStealer: Chrome密码窃取器木马分析

该木马与其他信息窃取密码一样,目标就是窃取Google Chrome密码管理器中保存的登陆凭证。

CStealer: Chrome密码窃取器木马分析

目标是Chrome保存的凭证

MalwareHunterTeam团队发现该木马后,研究人员James对该木马进行了进一步分析,发现该密码将窃取的数据发送到了MongoDB数据库。一般的信息窃取木马会将窃取的密码保存在文件中,然后发送到攻击者控制的C2服务器。CStealer直接连接到了远程MongoDB数据库, 并用该数据库来保存窃取的凭证。

为此,恶意软件中包含硬编码的MongDB凭证,并使用MongoDB C Driver作为客户端库来连接到数据库。

CStealer: Chrome密码窃取器木马分析

硬编码的MongDB凭证

密码在被窃取后,恶意软件会连接到数据库,并保存密码。下图是James截获的流量包,其中含有密码:

CStealer: Chrome密码窃取器木马分析 网络流量

虽然该方法的最终目的是窃取密码,但也为其他攻击者打开了获取受害者凭证权限的后门。

其他分析该恶意软件的人员都可以提取硬编码的凭证,并使用这些硬编码的凭证来获取和访问被窃的凭证。

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now