Saintstealer

Saintstealer

Saintstealer ialah perisian hasad berasaskan C# .NET, direka untuk menangkap dan mengeluarkan pelbagai data sulit daripada sistem yang terjejas. Ancaman ini mampu menyedut kelayakan akaun, maklumat sistem, nombor kad kredit/debit dan maklumat sensitif lain. Butiran mengenai Sainstealer telah didedahkan kepada umum dalam laporan oleh penyelidik keselamatan.

Dikaitkan dengan kumpulan penjenayah siber Saint, pencuri maklumat dijatuhkan ke peranti yang dilanggar sebagai fail boleh laku 32-bit bernama 'saintgang.exe.' Sebelum mengaktifkan fungsi utamanya, Sainstealer melakukan beberapa semakan untuk tanda-tanda persekitaran virtualisasi dan kotak pasir. Jika pemeriksaan anti-analisis mengesan sesuatu yang mencurigakan, ancaman itu akan menamatkan pelaksanaannya.

Walau bagaimanapun, setelah ditubuhkan pada peranti, Saintstealer akan mula menangkap pelbagai data dengan mengambil tangkapan skrin sewenang-wenangnya, mengumpul kata laluan, mengakses kuki dan membaca data autolengkap yang disimpan dalam penyemak imbas berasaskan Chromium (Google Chrome, Edge, Opera, Brave, Vivaldi , Yandex dan banyak lagi). Ancaman juga mungkin memperoleh token pengesahan berbilang faktor Discord, mengumpul pelbagai jenis fail (.doc, .docx, .txt, dll.), dan mengekstrak maklumat daripada aplikasi tertentu, seperti VimeWorld dan Telegram. Sainstealer juga mungkin memperoleh maklumat tertentu daripada berbilang aplikasi VPN, termasuk NordVPN, OpenVPN dan ProtonVPN.

Semua data yang diperoleh akan dimampatkan dan disimpan dalam fail ZIP yang dilindungi kata laluan. Maklumat yang dikumpul kemudiannya akan dieksfiltrasi ke akaun Telegram di bawah kawalan penjenayah siber. Pada masa yang sama, metadata yang berkaitan dengan maklumat yang dieksfiltrasi akan dihantar ke pelayan Command-and-Control (C2, C&C) jauh. Perlu diingatkan bahawa alamat IP yang dipautkan ke domain C2 operasi tersebut sebelum ini telah dikaitkan dengan beberapa keluarga pencuri lain, beberapa daripadanya termasuk Predator Stealer , Nixscare Stealer, QuasarRAT dan BloodyStealer.

Loading...