Saintstealer
Saintstealer è un malware basato su C# .NET, progettato per acquisire ed esfiltrare vari dati riservati da sistemi compromessi. La minaccia è in grado di sottrarre credenziali dell'account, informazioni di sistema, numero di carta di credito/debito e altre informazioni sensibili. I dettagli su Sainsstealer sono stati rivelati al pubblico in un rapporto di ricercatori di sicurezza.
Attribuito alla banda di criminali informatici Saint, il ladro di informazioni viene rilasciato sui dispositivi violati come file eseguibile a 32 bit chiamato "saintgang.exe". Prima di attivare la sua funzionalità principale, Sainsstealer esegue diversi controlli per individuare segni di virtualizzazione e ambienti sandbox. Se i controlli anti-analisi rilevano qualcosa di sospetto, la minaccia interromperà la sua esecuzione.
Tuttavia, una volta stabilito sul dispositivo, Saintstealer inizierà a catturare un'ampia gamma di dati acquisendo schermate arbitrarie, raccogliendo password, accedendo ai cookie e leggendo i dati di riempimento automatico salvati nei browser basati su Chromium (Google Chrome, Edge, Opera, Brave, Vivaldi , Yandex e altro). La minaccia può anche acquisire token di autenticazione a più fattori Discord, raccogliere vari tipi di file (.doc, .docx, .txt, ecc.) ed estrarre informazioni da determinate applicazioni, come VimeWorld e Telegram. Sainsstealer può anche acquisire determinate informazioni da più applicazioni VPN, tra cui NordVPN, OpenVPN e ProtonVPN.
Tutti i dati ottenuti verranno compressi e archiviati in un file ZIP protetto da password. Le informazioni raccolte verranno quindi esfiltrate su un account Telegram sotto il controllo dei criminali informatici. Allo stesso tempo, i metadati relativi alle informazioni esfiltrate verranno trasmessi a un server Command-and-Control (C2, C&C) remoto. Da notare che l'indirizzo IP legato al dominio C2 delle operazioni è stato precedentemente collegato a molteplici altre famiglie di stealer, alcune delle quali includono Predator Stealer , Nixscare Stealer, QuasarRAT e BloodyStealer.