Malware Saint Bot

Gli esperti di sicurezza informatica hanno individuato un nuovo contagocce di malware lanciato di recente che sembra stia guadagnando terreno tra i circoli di hacker. Denominata malware Saint Bot, la minaccia potrebbe non mostrare funzionalità mai viste prima, ma l'ampia gamma di tecniche utilizzate nella sua creazione mostra che lo sviluppatore possiede sicuramente una conoscenza della progettazione del malware.

L'attacco malware Saint Bot è un processo complicato che passa attraverso diversi passaggi intermedi. Il vettore di compromissione iniziale è un'e-mail di phishing che contiene un allegato armato. Il file "bitcoin.zip" finge di essere un portafoglio Bitcoin mentre in realtà è uno script di PowerShell. Durante la fase successiva, lo script PowerShell rilascia un nuovo malware in un eseguibile WindowsUpdate.exe, che quindi fornisce un secondo eseguibile denominato InstallUtil.exe. Infine, gli ultimi due eseguibili vengono portati nel sistema infetto: "def.exe" è uno script batch progettato per disabilitare Windows Defender mentre "putty.exe" contiene il payload principale di Saint Bot. La minaccia malware ha quindi stabilito una connessione con i suoi server Command-and-Control (C2, C&C) e attende le istruzioni per un ulteriore sfruttamento della vittima.

Potenti tecniche di evasione e anti-rilevamento

Il malware Saint Bot ha tre funzionalità dannose:

1. Recupera ed esegui payload malware aggiuntivi dal server C2. Finora, questi carichi utili sono stati principalmente per ladri di informazioni come Taurus Stealer o dropper mid-stage. Saint Bot, tuttavia, è in grado di eliminare qualsiasi tipo di payload malware.

2. Aggiornamento stesso

3. Rimuovendosi completamente dalla macchina compromessa per coprire le sue tracce

Sebbene sicuramente non sia la minaccia più versatile in circolazione, Saint Bot è innegabilmente efficace. Il suo offuscamento che è presente in tutta la catena di attacco è supportato da diverse tecniche anti-analisi. Di conseguenza, Saint Bot è estremamente scivoloso e può consentire all'attore della minaccia di sfruttare il dispositivo compromesso senza essere notato.

Inoltre, Saint Bot esegue controlli per i debugger o se viene eseguito in un ambiente virtuale. La minaccia malware è anche programmata per interromperne l'esecuzione se la vittima infetta proviene da un elenco di paesi all'interno della regione della CSI (Comunità di Stati Indipendenti): Romania, Armenia, Kazakistan, Moldova, Russia, Ucraina e Bielorussia.