Actualités

ColdStealer : un nouvel extracteur de données ciblant les informations crypto-financières, en passant par le navigateur Web ! (deux méthodes, un but…)

La branche coréenne de l’équipe sécuritaire ASec vient de partager, depuis le 21 Février 2022, de nouvelles révélations concernant un nouvel aspirateur de données : nommé ColdStealer et œuvrant seul ou avec appui insécuritaire, il vise de nombreux desseins dont l’ex-filtration générales de données, y compris celles relatives à la crypto-monnaie ou encore aux profils-utilisateur des navigateurs Web.

 

 

Le billet sécuritaire relate une des deux méthodes potentiellement exploitables par ColdStealer, à savoir – et autre que la distribution primaire de malwares tels que CryptBot et RedLine Stealer – une fonction en mode compte-goutte (dropper), en délivrant, une fois exécuté, bon nombre de logiciels malveillants.

 

Condensé de ses fonctions principales :

 

  • Ex-filtration depuis le navigateur Web : “Battle.net, Chrome, Google Chrome, Google Chrome (x86), MapleStudio ChromePlus, Iridium, 7Star, CentBrowser, Chedot, Vivaldi, Kometa, Elements, Epic, uCozMedia Uran, Sleipnir5, Citrio, Coowon, Liebao, QIP Surf, Orbitum, Comodo Dragon, Amigo, Torch, Navigateur Yandex, Comodo, 360Browser, Maxthon3, K-Melon, Spoutnik, Nichrome, CocCoc, Uran, Chromodo, Atom, BraveSoftware, Microsoft Edge, Nvidia, Steam, CryptoTab” sont cités, concernant les navigateurs sous Chromium, en plus d’Opera ou encore de Firefox. Du côté des extensions-navigateur, voici celles essentiellement ciblées : “Metamask, YoroiWallet, Tronlink, NiftyWallet, MathWallet, Coinbase, BinanceChain, BraveWallet, GuardaWallet, EqualWallet, JaxxLiberty, BitAppWallet, iWallet, Wombat, AtomicWallet, MewCallet, GuildWallet, Cellophone, SaturnWallet, ConeWallet, Cellhantom, SaturnWallet, Crypto.com, Cyano, Cyano PRO, Dune, Fractal, Gero, Harmony, Hiro, Iconex, Chaîne Kardia, Keplr, KHC, Lamden, Liquality, Maiar, Mew CEX, Mobox, NeoLine, Nami, Oasis, Polymesh, Rabby, Solflare, Sollet, Solong, Temple , Station Terra, TezBox, Thêta, XDeFi, ZebeDee, Authentificateur CC“. Les chercheurs attirent l’attention sur le fait qu’un préalable technique est généralement effectué par ColdStealer, en vérifiant ou corrélant certaines informations (ID, cookies, notamment) avec le navigateur Web pour mieux cibler l’existence (via un “programme sensible” relatif à “l’authentification des utilisateurs“) ou non d’un wallet tout en ne subtilisant que l’essentiel (par un ensemble de fichiers à chaque flux). Une fois ce flux transmis, deux fichiers textes sont générés : un pour l’historique (domain.txt) et un autre pour les identifiants (passwords.txt) ;
  • Ex-filtration du wallet ou porte-feuille de crypto-monnaie(s) : “ZCash, Armory, Bytecoin, JaxxClassic, JaxxLiberty, Exodus, Ethereum, Electrum, Electrum-LTC, Electrum-BCH, Atomic, Guarda, Wasabi, Daedalus, Coinomi, Litecoin,, Dash,, Bitcoin, monero-core, Binance“. L’aspiration prend lieu directement depuis les dossiers Roaming, Registre et Local ;
  • Ex-filtration des fichiers, dossiers associés à un compte ou profil-utilisateur, dont le Bureau avec, en prime, un filtre de recherche pour cibler d’éventuels porte-feuille de crypto-monnaie(s) via les extensions .txt et .dat ;

 

  • Ex-filtration des données relative aux serveurs FTPs : cela englobe le listing complet des serveurs et les identifiants (FileZilla) ;

 

  • Ex-filtration des données-système : version-OS (Windows), langage paramétré, configuration-système (dont CPU), contenu du presse-papiers et les permissions de modification-exécution ;
  • Ex-filtration des diagnostiques ou erreurs relatives à ColdStealer, par command-and-control. Les chercheurs soulignent que les erreurs d’analyse sous SQLite étant également trasmises, cela peut suggérer une amélioration logicielle à venir.

 

 

Ayant pour socle un encapsulage .NET, il passe presque dangereusement inaperçu via un poids-plume de 80 Ko et, surtout, une méthodologie de subtilisation de la donnée assez affinée : en effet, lorsque l’ex-filtration s’opère, “une structure ZIP en mémoire” est créée en place d’un traditionnel fichier ou dossier-archive. L’ensemble est alors envoyé vers un serveur command-and-control et, au final, aucune trace ne réside. Enfin, le billet a été publié par la branche coréenne en raison de présence de langue assimilée ce qui peut suggérer une éventuelle assimilation de l’exploit à des cyber-attaquants coréens… A veiller !

 

 

 

Source : ASec, LabAHN (Corée) – 21 Février 2022 – ColdStealer : nouveau malware ex-filtrant les données-utilisateur (dont crypto-wallet).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6