Saint Bot Malware

Cybersecurity-experts hebben een nieuwe, onlangs gelanceerde malwaredropper betrapt die steeds populairder lijkt te worden in hackerskringen. De dreiging, die Saint Bot-malware wordt genoemd, vertoont misschien geen nooit eerder vertoonde mogelijkheden, maar het brede scala aan technieken dat bij het maken ervan is gebruikt, toont aan dat de ontwikkelaar zeker over kennis beschikt over het ontwerpen van malware.

De Saint Bot-malwareaanval is een gecompliceerd proces dat verschillende tussenstappen doorloopt. De aanvankelijke compromisvector is een phishing-e-mail met een bewapende bijlage. Het bestand - 'bitcoin.zip' doet zich voor als een Bitcoin-portemonnee, terwijl het in feite een PowerShell-script is. Tijdens de volgende fase plaatst het PowerShell-script een nieuwe malware in een WindowsUpdate.exe-uitvoerbaar bestand, dat vervolgens een tweede uitvoerbaar bestand met de naam InstallUtil.exe levert. Ten slotte worden de laatste twee uitvoerbare bestanden naar het geïnfecteerde systeem gebracht - 'def.exe' is een batch-script dat is ontworpen om Windows Defender uit te schakelen, terwijl 'putty.exe' de belangrijkste Saint Bot-payload bevat. De malwarebedreiging heeft vervolgens een verbinding tot stand gebracht met zijn Command-and-Control-servers (C2, C&C) en wacht op instructies voor verdere uitbuiting van het slachtoffer.

Krachtige ontwijkings- en antidetectietechnieken

Saint Bot-malware heeft drie kwaadaardige functionaliteiten:

1. Haal aanvullende malware-payloads op van de C2-server en voer deze uit. Tot nu toe waren deze ladingen vooral bedoeld voor informatiedragers zoals de Taurus Stealer of mid-stage droppers. Saint Bot is echter in staat om elke vorm van malware-payload te laten vallen.

2. Zichzelf updaten

3. Zich volledig verwijderen uit de gecompromitteerde machine om zijn sporen uit te wissen

Hoewel het zeker niet de meest veelzijdige bedreiging is, is Saint Bot onmiskenbaar effectief. De verduistering die aanwezig is in de hele aanvalsketen wordt ondersteund met verschillende anti-analyse technieken. Als gevolg hiervan is Saint Bot extreem glad en kan de bedreigingsacteur het gecompromitteerde apparaat misbruiken zonder opgemerkt te worden.

Bovendien voert Saint Bot controles uit op debuggers of als het wordt uitgevoerd in een virtuele omgeving. De malwarebedreiging is ook geprogrammeerd om de uitvoering ervan te stoppen als het geïnfecteerde slachtoffer afkomstig is uit een lijst met landen in de GOS-regio (Gemenebest van Onafhankelijke Staten): Roemenië, Armenië, Kazachstan, Moldavië, Rusland, Oekraïne en Wit-Rusland.