Saintstealer

Saintstealer는 손상된 시스템에서 다양한 기밀 데이터를 캡처하고 추출하도록 설계된 C# .NET 기반 맬웨어입니다. 위협 요소는 계정 자격 증명, 시스템 정보, 신용/직불 카드 번호 및 기타 민감한 정보를 빼돌릴 수 있습니다. Sainstealer에 대한 세부 정보는 보안 연구원의 보고서에서 대중에게 공개되었습니다.

Saint 사이버 범죄 조직으로 추정되는 정보 도용자는 'saintgang.exe'라는 32비트 실행 파일로 침해된 장치에 드롭됩니다. 기본 기능을 활성화하기 전에 Sainstealer는 가상화 및 샌드박스 환경의 징후에 대해 몇 가지 검사를 수행합니다. 안티 분석 검사가 이상한 것을 탐지하면 위협 요소가 실행을 종료합니다.

그러나 일단 장치에 설정되면 Saintstealer는 임의의 스크린샷을 찍고, 암호를 수집하고, 쿠키에 액세스하고, Chromium 기반 브라우저(Google Chrome, Edge, Opera, Brave, Vivaldi , Yandex 등). 위협은 또한 Discord 다중 요소 인증 토큰을 획득하고 다양한 파일 형식(.doc, .docx, .txt 등)을 수집하고 VimeWorld 및 Telegram과 같은 특정 응용 프로그램에서 정보를 추출할 수 있습니다. Sainstealer는 NordVPN, OpenVPN 및 ProtonVPN을 포함한 여러 VPN 애플리케이션에서 특정 정보를 얻을 수도 있습니다.

획득한 모든 데이터는 압축되어 암호로 보호된 ZIP 파일에 저장됩니다. 수집된 정보는 사이버 범죄자의 통제 하에 있는 텔레그램 계정으로 유출됩니다. 동시에 유출된 정보와 관련된 메타데이터는 원격 지휘통제(C2, C&C) 서버로 전송된다. 작업의 C2 도메인에 연결된 IP 주소는 이전에 Predator Stealer , Nixscare Stealer, QuasarRAT 및 BloodyStealer를 포함하는 여러 다른 스틸러 제품군에 연결되었습니다.