Saintstealer

Saintstealer ir uz C# .NET balstīta ļaunprogrammatūra, kas paredzēta dažādu konfidenciālu datu tveršanai un izfiltrēšanai no apdraudētām sistēmām. Draudi var pārņemt konta akreditācijas datus, sistēmas informāciju, kredītkartes/debetkartes numuru un citu sensitīvu informāciju. Sīkāka informācija par Sainstealer tika atklāta sabiedrībai drošības pētnieku ziņojumā.

Piedēvēts Saint kibernoziedznieku bandai, informācijas zaglis tiek nomests uzlauztajās ierīcēs kā 32 bitu izpildāms fails ar nosaukumu “saintgang.exe”. Pirms primārās funkcionalitātes aktivizēšanas Sainstealer veic vairākas virtualizācijas un smilškastes vides pazīmju pārbaudes. Ja anti-analīzes pārbaudēs tiek atklāts kaut kas nenozīmīgs, draudi pārtrauks tā izpildi.

Tomēr, tiklīdz ierīce ir izveidota ierīcē, Saintstealer sāks tvert plašu datu klāstu, uzņemot patvaļīgus ekrānuzņēmumus, apkopojot paroles, piekļūstot sīkfailiem un lasot automātiskās aizpildes datus, kas saglabāti pārlūkprogrammās, kuru pamatā ir Chromium (Google Chrome, Edge, Opera, Brave, Vivaldi). , Yandex un citi). Draudi var arī iegūt Discord daudzfaktoru autentifikācijas marķierus, apkopot dažādus failu tipus (.doc, .docx, .txt utt.) un iegūt informāciju no noteiktām lietojumprogrammām, piemēram, VimeWorld un Telegram. Sainstealer var arī iegūt noteiktu informāciju no vairākām VPN lietojumprogrammām, tostarp NordVPN, OpenVPN un ProtonVPN.

Visi iegūtie dati tiks saspiesti un saglabāti ar paroli aizsargātā ZIP failā. Pēc tam savāktā informācija tiks izfiltrēta Telegram kontā, ko kontrolēs kibernoziedznieki. Tajā pašā laikā metadati, kas saistīti ar izfiltrēto informāciju, tiks pārsūtīti uz attālo Command-and-Control (C2, C&C) serveri. Jāatzīmē, ka IP adrese, kas saistīta ar operāciju domēnu C2, iepriekš ir bijusi saistīta ar vairākām citām zagļu ģimenēm, no kurām dažas ietver Predator Stealer, Nixscare Stealer, QuasarRAT un BloodyStealer.