研究人员推测新型恶意代码的ColdStealer正在传播

ColdStealer是一种新型恶意软件，可以收集用户信息并将其发送给C2，导致信息安全收到严重威胁。ColdStealer可以窃取浏览器信息、加密货币钱包信息等，劫持的目标浏览器包括基于Chrominum的多种浏览器。

这种恶性密码传播有两种情况：

1.传播CryptBot、RedLine等单一恶意代码的事例。

2.这是内部各种恶意代码被解压缩后执行的抽屉型恶意代码。

ColdStealer，是以后一种方式传播的，Droper恶意代码内部存在下载程序恶意代码，如果相应的下载程序恶意代码正在运行，则从C2下载ColdStealer恶意代码。这个过程用如下图：

（ColdStealer感染过程）

ColdStealer是一种多层包装的结构。目前。使用NET混淆方式的包装技术，但早期与过程卤化科。使用NET加载方式的包装，可以获得构建的原样ColdStealer。

ColdStealer在收集要窃取的信息时，不是以文件格式，而是以ZIP结构存储在内存中，为了实现这个功能，使用了GitHub上发布的源代码。信息采集完成后传输C2时，传输相应的内存流。如果采用这种方式，就不会留下文件的痕迹，从而避免了相关的检测，也不会留下任何执行的痕迹。

（收集信息时使用ZIP流）

ColdStealer有六个主要功能：

1.窃取浏览器信息

2.窃取加密货币钱包信息

3.文件劫持

4.窃取FTP服务器信息

5.窃取系统信息

6.发送异常（错误）信息

劫持的目标浏览器是基于Chrominum的多种浏览器，包括Battle.net,Chromium,Google Chrome,Google Chrome(x86),MapleStudio ChromePlus,Iridium,7Star,CentBrowser,Chedot,Vivaldi,Kometa,Elements,Epic,uCozMedia Uran,Sleipnir5,Citrio,Coowon,Liebao,QIP Surf,Orbitum,Comodo Dragon、Amigo、Torch、Yandex Browser、Comodo、360Browser、Maxthon3、K-Melon、Sputnik、Nichrome、CocCoc、Uran、Chromodo、Atom、BraveSoftware、Microsoft Edge、Nvidia、Steam、CryptoTab。

虽然ColdStealer是一种非常简单的信息夺取恶意代码，但在感染时，用户的主要信息会泄露给攻击者，造成严重的二次伤害，因此需要注意。