ColdStealer Malware

Le ColdStealer Malware entre dans la catégorie des menaces infostealer conçues pour obtenir des informations sensibles et privées des systèmes qu'ils infectent. La menace a été découverte pour la première fois par des experts en cybersécurité. ColdStealer est capable de récolter diverses informations utilisateur, puis de les transmettre à un serveur de commande et de contrôle (C2, C&C) dédié.

La chaîne d'attaque de l'opération commence par un malware dropper qui compromet les systèmes ciblés. La menace est chargée de violer l'appareil, de récupérer la charge utile ColdStealer, puis de l'exécuter. Un vecteur probable de la distribution du compte-gouttes est par le biais de programmes de crack militarisés pour les produits logiciels populaires.

Une fois établi sur le système, ColdStealer peut extraire les informations du navigateur, notamment les cookies, les identifiants, les mots de passe, etc. La menace est également capable d'accéder aux données des extensions de navigateur installées, aux informations des portefeuilles de crypto-monnaie généralement stockées dans le registre ou les répertoires locaux et itinérants, aux informations du serveur FTP, y compris une liste des serveurs et des mots de passe associés. Les fonctions menaçantes de ColdStealer lui permettent également de capturer diverses informations système, telles que la version de Windows, la langue, le type de processeur, etc. Enfin, la menace est capable d'identifier les chaînes ou extensions de "portefeuille" contenues dans les fichiers .txt et .dat. Toutes les données récoltées sont conditionnées dans une archive ZIP puis exfiltrées vers le C2. Toutes les erreurs rencontrées par ColdStealer lorsqu'il est actif sur l'appareil de la victime sont également transmises au C2.