Saintstealer

Saintstealer on C# .NET-põhine pahavara, mis on loodud erinevate konfidentsiaalsete andmete kogumiseks ja väljafiltreerimiseks ohustatud süsteemidest. Oht on võimeline edastama konto mandaate, süsteemiteavet, krediit-/deebetkaardi numbrit ja muud tundlikku teavet. Üksikasjad Sainstealeri kohta avalikustati avalikkusele turvauurijate raportis.

Sainti küberkurjategijate jõugule omistatud teabevarastaja langeb rikutud seadmetele 32-bitise täitmisfailina nimega "saintgang.exe". Enne põhifunktsioonide aktiveerimist kontrollib Sainstealer virtualiseerimis- ja liivakastikeskkondade märke. Kui analüüsivastased kontrollid tuvastavad midagi kahtlast, lõpetab oht selle täitmise.

Kuid pärast seadmesse loomist hakkab Saintstealer jäädvustama laia valikut andmeid, tehes suvalisi ekraanipilte, kogudes paroole, pääsedes juurde küpsistele ja lugedes Chromiumipõhistesse brauseritesse (Google Chrome, Edge, Opera, Brave, Vivaldi) salvestatud automaatse täitmise andmeid. , Yandex ja palju muud). Oht võib hankida ka Discordi mitmefaktorilisi autentimismärke, koguda erinevaid failitüüpe (.doc, .docx, .txt jne) ja eraldada teavet teatud rakendustest, nagu VimeWorld ja Telegram. Sainstealer võib hankida teatud teavet ka mitmest VPN-i rakendusest, sealhulgas NordVPN, OpenVPN ja ProtonVPN.

Kõik saadud andmed tihendatakse ja salvestatakse parooliga kaitstud ZIP-faili. Seejärel eksfiltreeritakse kogutud teave küberkurjategijate kontrolli all olevale Telegrami kontole. Samal ajal edastatakse väljafiltreeritud teabega seotud metaandmed kaugkäskluse ja juhtimise (C2, C&C) serverisse. Tuleb märkida, et operatsioonide C2 domeeniga seotud IP-aadress on varem seotud mitme teise varastamisperekonnaga, millest mõned hõlmavad Predator Stealer , Nixscare Stealer, QuasarRAT ja BloodyStealer.