Saintstealer

A Saintstealer egy C# .NET alapú rosszindulatú program, amelyet különféle bizalmas adatok rögzítésére és kiszűrésére terveztek a feltört rendszerekből. A fenyegetés képes a fiók hitelesítő adatait, a rendszerinformációkat, a hitel-/bankkártyaszámot és más érzékeny információkat átszippantani. A Sainstealerrel kapcsolatos részleteket a biztonsági kutatók jelentésében tárták a nyilvánosság elé.

A Saint kiberbűnözők bandájának tulajdonított információlopó 32 bites "saintgang.exe" nevű futtatható fájlként kerül a feltört eszközökre. Elsődleges funkcióinak aktiválása előtt a Sainstealer számos ellenőrzést végez a virtualizáció és a sandbox környezetek jelei után. Ha az anti-analízis ellenőrzések valami rosszat észlelnek, a fenyegetés leállítja a végrehajtását.

Amint azonban létrejött az eszközön, a Saintstealer megkezdi az adatok széles körének rögzítését tetszőleges képernyőképek készítésével, jelszavak gyűjtésével, cookie-khoz való hozzáféréssel és a Chromium-alapú böngészőkben (Google Chrome, Edge, Opera, Brave, Vivaldi) mentett automatikus kitöltési adatok olvasásával. , Yandex és így tovább). A fenyegetés emellett Discord többtényezős hitelesítési tokeneket is szerezhet, különféle fájltípusokat gyűjthet (.doc, .docx, .txt stb.), és információkat nyerhet ki bizonyos alkalmazásokból, például a VimeWorldből és a Telegramból. A Sainstealer több VPN-alkalmazásból is beszerezhet bizonyos információkat, beleértve a NordVPN-t, az OpenVPN-t és a ProtonVPN-t.

Az összes kapott adatot tömörítjük és jelszóval védett ZIP fájlban tároljuk. Az összegyűjtött információkat ezután a kiberbűnözők felügyelete alatt lévő Telegram-fiókba szűrik. Ezzel egyidejűleg a kiszűrt információkkal kapcsolatos metaadatok egy távoli Command-and-Control (C2, C&C) szerverre kerülnek továbbításra. Meg kell jegyezni, hogy a műveletek C2 tartományához kapcsolt IP-címet korábban több más lopócsaládhoz is kapcsolták, amelyek közül néhány a Predator Stealer , a Nixscare Stealer, a QuasarRAT és a BloodyStealer.