Saintstealer
Saintstealer یک بدافزار مبتنی بر C#.NET است که برای ضبط و استخراج دادههای محرمانه مختلف از سیستمهای در معرض خطر طراحی شده است. این تهدید میتواند اعتبار حساب، اطلاعات سیستم، شماره کارت اعتباری/دبیت و سایر اطلاعات حساس را از بین ببرد. جزئیات مربوط به Sainstealer در گزارشی توسط محققان امنیتی برای عموم فاش شد.
دزد اطلاعات که به باند مجرمان سایبری Saint نسبت داده می شود، به عنوان یک فایل اجرایی 32 بیتی به نام 'saintgang.exe' روی دستگاه های نقض شده رها می شود. قبل از فعال کردن عملکرد اصلی خود، Sainstealer چندین بررسی برای نشانههای مجازیسازی و محیطهای sandbox انجام میدهد. اگر بررسی های ضد تجزیه و تحلیل چیزی شبیه به آن را تشخیص دهند، تهدید اجرای آن را خاتمه می دهد.
با این حال، پس از استقرار در دستگاه، Saintstealer با گرفتن اسکرین شات دلخواه، جمع آوری رمزهای عبور، دسترسی به کوکی ها و خواندن داده های تکمیل خودکار ذخیره شده در مرورگرهای مبتنی بر Chromium (Google Chrome، Edge، Opera، Brave، Vivaldi) شروع به گرفتن طیف وسیعی از داده ها می کند. ، Yandex و بیشتر). این تهدید همچنین ممکن است توکنهای احراز هویت چند عاملی Discord را به دست آورد، انواع فایلهای مختلف (doc.، .docx، .txt، و غیره) را جمعآوری کند و اطلاعات را از برنامههای خاص مانند VimeWorld و Telegram استخراج کند. Sainstealer همچنین ممکن است اطلاعات خاصی را از چندین برنامه VPN از جمله NordVPN، OpenVPN و ProtonVPN به دست آورد.
تمام داده های به دست آمده فشرده و در یک فایل ZIP محافظت شده با رمز عبور ذخیره می شوند. سپس اطلاعات جمعآوریشده به یک حساب تلگرام تحت کنترل مجرمان سایبری منتقل میشود. در همان زمان، ابرداده مربوط به اطلاعات استخراج شده به یک سرور فرمان و کنترل از راه دور (C2, C&C) منتقل می شود. لازم به ذکر است که آدرس IP مرتبط با دامنه C2 عملیات قبلاً به چندین خانواده دزد دیگر پیوند داده شده است که برخی از آنها شامل Predator Stealer ، Nixscare Stealer، QuasarRAT و BloodyStealer هستند.