Saint Bot Malware

Cybersikkerhedseksperter har fanget en ny, nyligt lanceret malware-dropper, der ser ud til at få trækkraft blandt hackerkredse. Navngivet Saint Bot-malware udviser truslen muligvis ingen før-set-evner, men den brede vifte af teknikker, der bruges i oprettelsen, viser, at udvikleren bestemt har viden om malware-design.

Saint Bot-malwareangrebet er en kompliceret proces, der gennemgår flere mellemliggende trin. Den indledende kompromisvektor er en phishing-e-mail, der bærer en vedhæftet fil. Filen - 'bitcoin.zip' foregiver at være en Bitcoin-tegnebog, mens den faktisk er et PowerShell-script. I det næste trin dropper PowerShell-scriptet en ny malware i en WindowsUpdate.exe-eksekverbar, som derefter leverer en anden eksekverbar ved navn InstallUtil.exe. Endelig bringes de sidste to eksekverbare filer til det inficerede system - 'def.exe' er et batch-script designet til at deaktivere Windows Defender, mens 'putty.exe' indeholder den vigtigste Saint Bot-nyttelast. Malwaretruslen etablerede derefter en forbindelse med dens Command-and-Control (C2, C&C) servere og afventer instruktioner til yderligere udnyttelse af offeret.

Kraftig unddragelse og anti-afsløringsteknikker

Saint Bot-malware har tre ondsindede funktioner:

1. Hent og udfør yderligere malware-nyttelast fra C2-serveren. Indtil videre har disse nyttelast hovedsagelig været til info-stjælere som Taurus Stealer eller dropper i mellemfasen. Saint Bot er dog i stand til at droppe enhver form for malware-nyttelast.

2. Opdatering af sig selv

3. Fjern sig selv helt fra den kompromitterede maskine for at dække dens spor

Selvom det bestemt ikke er den mest alsidige trussel derude, er Saint Bot utvivlsomt effektiv. Dens tilsløring, der er til stede i hele angrebskæden, understøttes af flere anti-analyseteknikker. Som et resultat er Saint Bot ekstremt glat og kan tillade trusselsaktøren at udnytte den kompromitterede enhed uden at blive bemærket.

Derudover udfører Saint Bot kontrol for debuggere, eller hvis den køres i et virtuelt miljø. Malwaretruslen er også programmeret til at stoppe dens udførelse, hvis det inficerede offer er fra en liste over lande inden for SNG-regionen (Commonwealth of Independent States) - Rumænien, Armenien, Kasakhstan, Moldova, Rusland, Ukraine og Hviderusland.