Saintstealer

Saintstealer הוא תוכנה זדונית מבוססת C# .NET, שנועדה ללכוד ולחלץ נתונים סודיים שונים ממערכות שנפגעו. האיום מסוגל לשאוב אישורי חשבון, מידע מערכת, מספר כרטיס אשראי/חיוב ומידע רגיש אחר. פרטים על סיינסטילר נחשפו לציבור בדו"ח של חוקרי אבטחה.

מיוחס לכנופיית פושעי הסייבר Saint, גונב המידע מוטל על מכשירים שנפרצו כקובץ הפעלה של 32 סיביות בשם 'saintgang.exe'. לפני הפעלת הפונקציונליות העיקרית שלו, Sainstealer מבצעת מספר בדיקות לאיתור סימנים של וירטואליזציה וסביבות חול. אם בדיקות האנטי-אנליזה מזהות משהו דגי, האיום יפסיק את ביצועו.

עם זאת, לאחר שהוקם במכשיר, Saintstealer תתחיל ללכוד מגוון רחב של נתונים על ידי צילום צילומי מסך שרירותיים, איסוף סיסמאות, גישה לקובצי Cookie וקריאת נתוני המילוי האוטומטי שנשמרו בדפדפנים מבוססי Chromium (Google Chrome, Edge, Opera, Brave, Vivaldi , Yandex ועוד). האיום גם עשוי לרכוש אסימוני אימות מרובי גורמים של Discord, לאסוף סוגי קבצים שונים (.doc, .docx, .txt וכו'), ולחלץ מידע מיישומים מסוימים, כגון VimeWorld ו-Telegram. Sainstealer עשויה גם לרכוש מידע מסוים מאפליקציות VPN מרובות, כולל NordVPN, OpenVPN ו-ProtonVPN.

כל הנתונים שיתקבלו יידחסו ויישמרו בקובץ ZIP מוגן בסיסמה. לאחר מכן, המידע שנאסף יועברו לחשבון טלגרם בשליטת פושעי הסייבר. במקביל, המטא נתונים הקשורים למידע המוחלף ישודרו לשרת פיקוד ושליטה מרוחק (C2, C&C). יש לציין שכתובת ה-IP המקושרת לתחום C2 של הפעולות נקשרה בעבר למספר משפחות גונבים אחרות, שחלקן כוללות Predator Stealer , Nixscare Stealer, QuasarRAT ו-BloodyStealer.