CONVOCATORIA PARA CURSOS


 Programación de Cursos Segurmática para el 2019

Programación de Eventos y talleres Año 2019 Segurmática


Nuevo troyano espía para Chrome envía los datos robados a una base de datos Mongo

El analista de malware ‘MalwrHunterTeam‘ ha descubierto recientemente un nuevo troyano dedicado al robo de credenciales almacenadas en Chrome, que las enviaba a un servidor Mongo para almacenarlas.

Tras el descubrimiento de este nuevo malware por parte de ‘MalwrHunterTeam’, fue James el encargado de realizar un análisis más profundo de la muestras.

Éste troyano, bautilzado con el nombre de ‘CStealer‘, fue desarrollado para robar credenciales almacenadas en la base de datos del navegador Google Chrome.

Como podemos apreciar en la imagen anterior, este malware abre la base de datos de contraseñas de Chrome y las leerá. Tras esto, éste las enviará a una base de datos MongoDB directamente, utilizando el protocolo de Mongo.

Es curioso el hecho de que este malware no haga uso de un servidor de control intermedio que reciba las credenciales, y que en su lugar realice directamente la conexión a la base de datos para almacenar las contraseñas robadas de los dispositivos infectados.

Para realizar la conexión al servidor MongoDB, este software malicioso utiliza la librería para C ‘MongoDB C Driver‘. El usuario para conectar a la base de datos, como se puede apreciar en la imagen anterior, es ‘Stealer‘, mientras que la contraseña es ‘4nXG4NeFMMMjXE79‘.

Si nos conectamos manualmente al servidor MongoDB podemos ver que en estos momentos éste responde, por lo que el troyano seguiría robando credenciales de los usuarios infectados. Por otro lado, podemos observar que los permisos del usuario configurado en el servidor son solamente de inserción, puesto que no permite obtener las contraseñas almacenadas en la base de datos, ni eliminarlas, solamente permite insertar datos.

Más información:

Fuente: https://www.bleepingcomputer.com/news/security/new-chrome-password-stealer-sends-stolen-data-to-a-mongodb-database/

Tweet de James: https://twitter.com/James_inthe_box/status/1200431694307684352

Video de la Semana


 

¿Cómo quitar contraseñas de documentos Word y comprimidos Winrar?