Saintstealer

Saintstealer هو برنامج ضار يستند إلى C # .NET ، مصمم لالتقاط واستخراج البيانات السرية المختلفة من الأنظمة المخترقة. التهديد قادر على سرقة بيانات اعتماد الحساب ومعلومات النظام ورقم بطاقة الائتمان / الخصم وغيرها من المعلومات الحساسة. تم الكشف عن تفاصيل حول Sainstealer للجمهور في تقرير صادر عن باحثين أمنيين.

المنسوب إلى عصابة مجرمي الإنترنت القديس ، يتم إسقاط سارق المعلومات على الأجهزة المخترقة كملف 32 بت قابل للتنفيذ يسمى "saintgang.exe". قبل تنشيط وظائفه الأساسية ، يقوم Sainstealer بإجراء عدة فحوصات بحثًا عن علامات بيئات المحاكاة الافتراضية وبيئات الحماية. إذا اكتشفت عمليات التحقق المضادة للتحليل شيئًا مريبًا ، فسينهي التهديد تنفيذه.

ومع ذلك ، بمجرد إنشائه على الجهاز ، سيبدأ Saintstealer في التقاط مجموعة كبيرة من البيانات عن طريق التقاط لقطات شاشة عشوائية ، وجمع كلمات المرور ، والوصول إلى ملفات تعريف الارتباط ، وقراءة بيانات الملء التلقائي المحفوظة في المتصفحات المستندة إلى Chromium (Google Chrome ، Edge ، Opera ، Brave ، Vivaldi و Yandex والمزيد). قد يكتسب التهديد أيضًا رموز المصادقة متعددة العوامل من Discord ، ويجمع أنواعًا مختلفة من الملفات (.doc ، .docx ، .txt ، وما إلى ذلك) ، ويستخرج المعلومات من تطبيقات معينة ، مثل VimeWorld و Telegram. قد يحصل Sainstealer أيضًا على معلومات معينة من تطبيقات VPN متعددة ، بما في ذلك NordVPN و OpenVPN و ProtonVPN.

سيتم ضغط جميع البيانات التي تم الحصول عليها وتخزينها في ملف ZIP محمي بكلمة مرور. سيتم بعد ذلك نقل المعلومات التي تم جمعها إلى حساب Telegram تحت سيطرة مجرمي الإنترنت. في الوقت نفسه ، سيتم إرسال البيانات الوصفية المتعلقة بالمعلومات المسربة إلى خادم تحكم وتحكم عن بعد (C2، C&C). وتجدر الإشارة إلى أن عنوان IP المرتبط بمجال C2 للعمليات قد تم ربطه سابقًا بالعديد من عائلات السرقة الأخرى ، وبعضها يشمل Predator Stealer و Nixscare Stealer و QuasarRAT و BloodyStealer.