Saintstealer

„Saintstealer“ yra C# .NET pagrindu sukurta kenkėjiška programa, skirta užfiksuoti ir išfiltruoti įvairius konfidencialius duomenis iš pažeistų sistemų. Grėsmė gali perimti paskyros kredencialus, sistemos informaciją, kredito / debeto kortelės numerį ir kitą neskelbtiną informaciją. Išsami informacija apie „Sainstealer“ buvo atskleista visuomenei saugumo tyrėjų ataskaitoje.

Priskiriamas Saint kibernetinių nusikaltėlių gaujai, informacijos vagystė nuleidžiama į pažeistus įrenginius kaip 32 bitų vykdomasis failas, pavadintas „saintgang.exe“. Prieš suaktyvindama pagrindines funkcijas, „Sainstealer“ atlieka keletą virtualizacijos ir smėlio dėžės aplinkos ženklų patikrinimų. Jei antianalizės patikrinimai aptiks ką nors blogo, grėsmė nutrauks jos vykdymą.

Tačiau įrenginyje įdiegus, Saintstealer pradės fiksuoti daugybę duomenų, darydamas savavališkas ekrano kopijas, rinkdamas slaptažodžius, pasiedamas slapukus ir skaitydamas automatinio pildymo duomenis, išsaugotus „Chromium“ pagrįstose naršyklėse („Google Chrome“, „Edge“, „Opera“, „Brave“, „Vivaldi“). , „Yandex“ ir kt.). Grėsmė taip pat gali įsigyti „Discord“ kelių veiksnių autentifikavimo prieigos raktus, rinkti įvairius failų tipus (.doc, .docx, .txt ir kt.) ir išgauti informaciją iš tam tikrų programų, tokių kaip „VimeWorld“ ir „Telegram“. „Sainstealer“ taip pat gali gauti tam tikrą informaciją iš kelių VPN programų, įskaitant „NordVPN“, „OpenVPN“ ir „ProtonVPN“.

Visi gauti duomenys bus suspausti ir saugomi slaptažodžiu apsaugotame ZIP faile. Tada surinkta informacija bus išfiltruota į Telegram paskyrą, kurią kontroliuoja kibernetiniai nusikaltėliai. Tuo pačiu metu su išfiltruota informacija susiję metaduomenys bus perduoti į nuotolinį komandų ir valdymo (C2, C&C) serverį. Reikėtų pažymėti, kad IP adresas, susietas su operacijų C2 domenu, anksčiau buvo susietas su keliomis kitomis vagių šeimomis, kai kurios iš jų apima Predator Stealer , Nixscare Stealer, QuasarRAT ir BloodyStealer.