El nuevo Password Stealer de Chrome envía datos robados a una base de datos MongoDB

El nuevo Password Stealer de Chrome envía datos robados a una base de datos MongoDB

El analista de malware ‘MalwareHunterTeam’ ha descubierto recientemente un nuevo troyano dedicado al robo de credenciales almacenadas en Chrome, que las enviaba a un servidor Mongo para almacenarlas.

Tras el descubrimiento de este nuevo malware por parte de ‘MalwrHunterTeam’, fue James el encargado de realizar un análisis más profundo de la muestras. Éste troyano, bautilzado con el nombre de ‘CStealer‘, fue desarrollado para robar credenciales almacenadas en la base de datos del navegador Google Chrome.

Como podemos apreciar en la imagen anterior, este malware abre la base de datos de contraseñas de Chrome y las leerá. Tras esto, éste las enviará a una base de datos MongoDB directamente, utilizando el protocolo de Mongo. Es curioso el hecho de que este malware no haga uso de un servidor de control intermedio que reciba las credenciales, y que en su lugar realice directamente la conexión a la base de datos para almacenar las contraseñas robadas de los dispositivos infectados.

Para realizar la conexión al servidor MongoDB, este software malicioso utiliza la librería para C ‘MongoDB C Driver‘. El usuario para conectar a la base de datos, como se puede apreciar en la imagen anterior, es ‘Stealer‘, mientras que la contraseña es ‘4nXG4NeFMMMjXE79‘.

Esto se ilustra con una prueba del malware realizado por James. Como puede ver en la captura de pantalla de Wireshark a continuación, cuando el malware roba las contraseñas de Chrome, se conectará a la base de datos remota de MongoDB para almacenarlas para su posterior recuperación por parte del atacante.

Si bien este método finalmente sirve para robar contraseñas, también abre la puerta para que otros atacantes tengan acceso a las credenciales de la víctima. Cualquiera que analice este malware, ya sea la policía, los investigadores u otros actores de amenazas, puede recuperar las credenciales codificadas y usarlas para obtener acceso a las credenciales robadas.

Fuente: bleepingcomputer.com

Comments are closed.