تروجان جدیدی برای سیستم عامل ویندوز پیدا شده است که رمزهای عبور ذخیره شده در مرورگر کروم را به سرقت میبرد. این بدافزار از یک ارتباط راه دور با پایگاه داده MongoDB برای ذخیره اطلاعات سرقتی استفاده میکند که از ویژگیهای منحصر به فرد آن است.
این تروجان که با نام CStealer شناخته میشود، مانند سایر نسخههای تروجانی که برای سرقت اطلاعات طراحی شدهاند، هدف از ایجاد آن به دست آوردن اطلاعات محرمانه از بخش مدیریت رمز عبور مرورگر کروم برای ورود به سیستمهای کاربران است.
هدف قرار دادن رمزهای عبور ذخیره شده در مرورگر کروم
پس از شناسایی این تروجان و تحلیل آن، اطلاعات جالبی به دست آمده است.
این بدافزار به جای جمعآوری رمزهای عبور در یک فایل و ارسال آن به سرور فرماندهی و کنترل تحت نظارت مهاجم، مستقیماً به پایگاه داده MongoDB متصل شده و اطلاعات سرقت شده را در آنجا ذخیره میکند.
همچنین این بدافزار برای ذخیرهسازی اطلاعات در پایگاه داده، اطلاعات ورود به MongoDB را درون کد منبع خود قرار داده است و از درایور C MongoDB به عنوان کتابخانه کلاینت جهت برقراری ارتباط با پایگاه داده استفاده میکند.
این روش با آزمایشی که بر روی بدافزار انجام گرفت، مشخص شده است. همانطور که در عکس زیر مشاهده میکنید، بدافزار CStealer از نرم افزار Wireshark نیز در زمان سرقت رمزهای عبور استفاده کرده است. در این هنگام، بدافزار از راه دور به پایگاه داده MongoDB متصل شده و اطلاعات را در آنجا ذخیره میکند تا در آینده حمله کنندگان بتوانند آن را بازیابی کنند.
ترافیک شبکه
این روش نه تنها به هدف نهایی خود که همان سرقت کلمههای عبور کاربران است، دست مییابد بلکه دروازهای را هم به منظور دسترسی به اطلاعات محرمانه آنها برای سایر مهاجمان میگشاید.
هر شخصی، از نیروهای قانونی گرفته تا محققان یا سایر افراد خرابکار میتواند این بدافزار را تجزیه و تحلیل کند، اطلاعات ورود جاسازی شده در کد منبع آن را بازیابی کرده و از آنها برای دسترسی به اطلاعات سرقتی استفاده کند.