Saintstealer

Saintstealer Beskrivelse

Saintstealer er en C# .NET-baseret malware, designet til at fange og udslette forskellige fortrolige data fra kompromitterede systemer. Truslen er i stand til at overtage kontooplysninger, systemoplysninger, kredit-/betalingskortnummer og andre følsomme oplysninger. Detaljer om Sainstealer blev afsløret for offentligheden i en rapport fra sikkerhedsforskere.

Tilskrevet Saint cyberkriminelle bande, bliver informationstyveren droppet på brudte enheder som en 32-bit eksekverbar fil med navnet 'saintgang.exe'. Før Sainstealer aktiverer sin primære funktionalitet, udfører han adskillige kontroller for tegn på virtualisering og sandkassemiljøer. Hvis anti-analysekontrollen opdager noget skumt, vil truslen afslutte sin eksekvering.

Når først Saintstealer er etableret på enheden, vil Saintstealer begynde at fange en bred vifte af data ved at tage vilkårlige skærmbilleder, indsamle adgangskoder, få adgang til cookies og læse autofylddataene, der er gemt i Chromium-baserede browsere (Google Chrome, Edge, Opera, Brave, Vivaldi , Yandex og mere). Truslen kan også erhverve Discord multi-faktor autentificeringstokens, indsamle forskellige filtyper (.doc, .docx, .txt osv.) og udtrække information fra visse applikationer, såsom VimeWorld og Telegram. Sainstealer kan også erhverve visse oplysninger fra flere VPN-applikationer, inklusive NordVPN, OpenVPN og ProtonVPN.

Alle indhentede data vil blive komprimeret og gemt i en password-beskyttet ZIP-fil. De indsamlede oplysninger vil derefter blive eksfiltreret til en Telegram-konto under kontrol af cyberkriminelle. Samtidig vil metadataene relateret til den eksfiltrerede information blive transmitteret til en ekstern Command-and-Control-server (C2, C&C). Det skal bemærkes, at IP-adressen, der er knyttet til C2-domænet for operationerne, tidligere har været knyttet til flere andre stjælerfamilier, hvoraf nogle inkluderer Predator Stealer , Nixscare Stealer, QuasarRAT og BloodyStealer.