Новый Windows-троян ворует пароли из Chrome и хранит их в базе MongoDB

На ландшафте киберугроз обнаружился новый троян для систем Windows, крадущий сохранённые в браузере Google Chrome пароли. При этом для хранения украденных учётных данных вредонос использует удалённую базу данных MongoDB.

Получивший имя CStealer троян обнаружила команда исследователей MalwareHunterTeam, которая также отметила необычный подход вредоносной программы к отправке собранных паролей.

Как уже отмечалось выше, CStealer интересуют учётные данные, сохранённые во встроенном в Google Chrome менеджере паролей. Но есть также один нюанс, который выделяет этот вредонос на фоне других похожих троянов.

Вместо того чтобы компилировать пароли в один файл и отправлять на C2-сервер, CStealer напрямую подключается к базе данных MongoDB, которую впоследствии использует для хранения украденных учётных данных.

В коде вредоносной программы жёстко заданы имя базы и её пароль, а для подключения используется библиотека MongoDB C Driver.

В чём основная опасность такого подхода — любой, у кого будет возможность проанализировать код CStealer (правоохранители, исследователи, киберпреступники), сможет вычислить жёстко закодированные данные БД, что позволит получить доступ к украденным паролям жертв.