Saintstealer

Το Saintstealer είναι ένα κακόβουλο λογισμικό που βασίζεται σε C# .NET, σχεδιασμένο να συλλαμβάνει και να διεισδύει διάφορα εμπιστευτικά δεδομένα από παραβιασμένα συστήματα. Η απειλή μπορεί να συλλάβει διαπιστευτήρια λογαριασμού, πληροφορίες συστήματος, αριθμό πιστωτικής/χρεωστικής κάρτας και άλλες ευαίσθητες πληροφορίες. Λεπτομέρειες για το Sainstealer αποκαλύφθηκαν στο κοινό σε έκθεση ερευνητών ασφαλείας.

Αποδίδεται στην συμμορία του κυβερνοεγκληματικού Saint Saint, ο κλέφτης πληροφοριών απορρίπτεται σε συσκευές που έχουν παραβιαστεί ως ένα εκτελέσιμο αρχείο 32-bit με το όνομα 'saintgang.exe.' Πριν ενεργοποιήσει την κύρια λειτουργικότητά του, το Sainstealer εκτελεί αρκετούς ελέγχους για ενδείξεις εικονικοποίησης και περιβαλλόντων sandbox. Εάν οι έλεγχοι αντι-ανάλυσης εντοπίσουν κάτι ανόητο, η απειλή θα τερματίσει την εκτέλεσή της.

Ωστόσο, μόλις εγκατασταθεί στη συσκευή, το Saintstealer θα αρχίσει να καταγράφει ένα ευρύ φάσμα δεδομένων λαμβάνοντας αυθαίρετα στιγμιότυπα οθόνης, συλλέγοντας κωδικούς πρόσβασης, πρόσβαση σε cookie και διαβάζοντας τα δεδομένα αυτόματης συμπλήρωσης που είναι αποθηκευμένα σε προγράμματα περιήγησης που βασίζονται σε Chromium (Google Chrome, Edge, Opera, Brave, Vivaldi , Yandex και άλλα). Η απειλή μπορεί επίσης να αποκτήσει διακριτικά ελέγχου ταυτότητας πολλαπλών παραγόντων Discord, να συλλέξει διάφορους τύπους αρχείων (.doc, .docx, .txt, κ.λπ.) και να εξάγει πληροφορίες από ορισμένες εφαρμογές, όπως το VimeWorld και το Telegram. Το Sainstealer μπορεί επίσης να αποκτήσει ορισμένες πληροφορίες από πολλές εφαρμογές VPN, συμπεριλαμβανομένων των NordVPN, OpenVPN και ProtonVPN.

Όλα τα δεδομένα που λαμβάνονται θα συμπιεστούν και θα αποθηκευτούν σε ένα αρχείο ZIP που προστατεύεται με κωδικό πρόσβασης. Στη συνέχεια, οι πληροφορίες που συλλέγονται θα μεταφερθούν σε λογαριασμό Telegram υπό τον έλεγχο των εγκληματιών του κυβερνοχώρου. Ταυτόχρονα, τα μεταδεδομένα που σχετίζονται με τις πληροφορίες που έχουν εξαχθεί θα μεταδοθούν σε έναν απομακρυσμένο διακομιστή Command-and-Control (C2, C&C). Θα πρέπει να σημειωθεί ότι η διεύθυνση IP που συνδέεται με τον τομέα C2 των λειτουργιών έχει συνδεθεί προηγουμένως με πολλές άλλες οικογένειες κλεφτών, μερικές από τις οποίες περιλαμβάνουν το Predator Stealer , το Nixscare Stealer, το QuasarRAT και το BloodyStealer.