Se ha descubierto un nuevo troyano que intenta robar contraseñas almacenadas en el navegador Google Chrome. Si bien esto no es nada único, lo que destaca es que el malware utiliza una base de datos remota MongoDB para almacenar las contraseñas robadas.
Este troyano se llama CStealer, y como muchos otros troyanos que roban información, fue creado para apuntar y robar credenciales de inicio de sesión que se guardaron en el administrador de contraseñas de Google Chrome.
Sin embargo, después de ser descubierto por MalwareHunterTeam y analizado por James , las cosas se pusieron un poco más interesantes.
En lugar de compilar las contraseñas robadas en un archivo y enviarlas a un C2 bajo el control de los atacantes, el malware se conecta directamente a una base de datos remota de MongoDB y lo utiliza para almacenar las credenciales robadas.
Para hacer esto, el malware incluye credenciales de MongoDB codificadas y utiliza el controlador MongoDB C como una biblioteca de cliente para conectarse a la base de datos.
Cuando se roban las contraseñas, el malware se conectará a la base de datos y almacenará las contraseñas tal como las ve el tráfico de red creado después de que James lo haya probado.
Si bien este método sirve en última instancia para robar contraseñas, también abre la puerta para que otros atacantes tengan acceso a las credenciales de la víctima.
Cualquiera que analice este malware, ya sea la policía, los investigadores u otros actores de amenazas, puede recuperar las credenciales codificadas y usarlas para obtener acceso a las credenciales robadas.
Fecha actualización el 2021-12-01. Fecha publicación el 2019-12-01. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil