Saintstealer

Saintstealer je malware založený na C# .NET, určený k zachycení a exfiltraci různých důvěrných dat z napadených systémů. Hrozba je schopna získat přihlašovací údaje k účtu, systémové informace, číslo kreditní/debetní karty a další citlivé informace. Podrobnosti o Sainstealer byly veřejnosti odhaleny ve zprávě bezpečnostních výzkumníků.

Zloděj informací, připisovaný gangu kyberzločinců Saint, je umístěn na narušená zařízení jako 32bitový spustitelný soubor s názvem 'saintgang.exe.' Před aktivací své primární funkce Sainstealer provede několik kontrol na známky virtualizace a prostředí sandbox. Pokud antianalytické kontroly zjistí něco nebezpečného, hrozba ukončí své provádění.

Jakmile je však Saintstealer na zařízení zaveden, začne zachycovat širokou škálu dat pořizováním libovolných snímků obrazovky, shromažďováním hesel, přístupem k souborům cookie a čtením dat automatického vyplňování uložených v prohlížečích založených na Chromiu (Google Chrome, Edge, Opera, Brave, Vivaldi , Yandex a další). Hrozba může také získat tokeny vícefaktorové autentizace Discord, shromažďovat různé typy souborů (.doc, .docx, .txt atd.) a extrahovat informace z určitých aplikací, jako je VimeWorld a Telegram. Sainstealer může také získávat určité informace z více aplikací VPN, včetně NordVPN, OpenVPN a ProtonVPN.

Všechna získaná data budou komprimována a uložena do souboru ZIP chráněného heslem. Shromážděné informace pak budou exfiltrovány na účet telegramu pod kontrolou kyberzločinců. Současně budou metadata související s exfiltrovanými informacemi přenesena na vzdálený server Command-and-Control (C2, C&C). Je třeba poznamenat, že IP adresa spojená s doménou C2 operací byla dříve propojena s několika dalšími rodinami zlodějů, z nichž některé zahrnují Predator Stealer , Nixscare Stealer, QuasarRAT a BloodyStealer.