Saintstealer

Saintstealer er en C# .NET-basert skadelig programvare, designet for å fange opp og eksfiltrere ulike konfidensielle data fra kompromitterte systemer. Trusselen er i stand til å suge inn kontolegitimasjon, systeminformasjon, kreditt-/debetkortnummer og annen sensitiv informasjon. Detaljer om Sainstealer ble avslørt for offentligheten i en rapport fra sikkerhetsforskere.

Tilskrevet den nettkriminelle Saint-gjengen, blir informasjonstyveren sluppet på enheter som brytes som en 32-biters kjørbar fil kalt 'saintgang.exe'. Før Sainstealer aktiverer sin primære funksjonalitet, utfører han flere kontroller for tegn på virtualisering og sandkassemiljøer. Hvis antianalysesjekkene oppdager noe skumt, vil trusselen avslutte utførelsen.

Når imidlertid Saintstealer er etablert på enheten, vil Saintstealer begynne å fange et bredt spekter av data ved å ta vilkårlige skjermbilder, samle passord, få tilgang til informasjonskapsler og lese autofylldataene som er lagret i Chromium-baserte nettlesere (Google Chrome, Edge, Opera, Brave, Vivaldi , Yandex og mer). Trusselen kan også skaffe Discord multifaktorautentiseringstokener, samle inn ulike filtyper (.doc, .docx, .txt, etc.), og trekke ut informasjon fra visse applikasjoner, som VimeWorld og Telegram. Sainstealer kan også hente viss informasjon fra flere VPN-applikasjoner, inkludert NordVPN, OpenVPN og ProtonVPN.

Alle innhentede data vil bli komprimert og lagret i en passordbeskyttet ZIP-fil. Den innsamlede informasjonen vil deretter bli eksfiltrert til en Telegram-konto under kontroll av nettkriminelle. Samtidig vil metadataene knyttet til den eksfiltrerte informasjonen bli overført til en ekstern Command-and-Control-server (C2, C&C). Det skal bemerkes at IP-adressen knyttet til C2-domenet til operasjonene tidligere har vært knyttet til flere andre stjelerfamilier, hvorav noen inkluderer Predator Stealer , Nixscare Stealer, QuasarRAT og BloodyStealer.