Saintstealer

Saintstealer

Saintstealer is een op C# .NET gebaseerde malware, ontworpen om verschillende vertrouwelijke gegevens van gecompromitteerde systemen vast te leggen en te exfiltreren. De dreiging kan accountgegevens, systeeminformatie, creditcard-/debetkaartnummer en andere gevoelige informatie overhevelen. Details over Sainstealer werden openbaar gemaakt in een rapport van beveiligingsonderzoekers.

Toegeschreven aan de cybercriminele bende van Saint, wordt de informatie-stealer op de gehackte apparaten neergezet als een 32-bits uitvoerbaar bestand met de naam 'saintgang.exe'. Voordat de primaire functionaliteit wordt geactiveerd, voert Sainstealer verschillende controles uit op tekenen van virtualisatie en sandbox-omgevingen. Als de anti-analysecontroles iets vreemds detecteren, zal de dreiging de uitvoering ervan beëindigen.

Zodra Saintstealer eenmaal op het apparaat is ingesteld, begint het echter een breed scala aan gegevens vast te leggen door willekeurige schermafbeeldingen te maken, wachtwoorden te verzamelen, toegang te krijgen tot cookies en de gegevens voor automatisch aanvullen te lezen die zijn opgeslagen in Chromium-gebaseerde browsers (Google Chrome, Edge, Opera, Brave, Vivaldi , Yandex en meer). De dreiging kan ook Discord multi-factor authenticatie tokens verkrijgen, verschillende bestandstypes verzamelen (.doc, .docx, .txt, etc.) en informatie extraheren uit bepaalde applicaties, zoals VimeWorld en Telegram. Sainstealer kan ook bepaalde informatie verkrijgen van meerdere VPN-applicaties, waaronder NordVPN, OpenVPN en ProtonVPN.

Alle verkregen gegevens worden gecomprimeerd en opgeslagen in een met een wachtwoord beveiligd ZIP-bestand. De verzamelde informatie wordt vervolgens geëxfiltreerd naar een Telegram-account onder controle van de cybercriminelen. Tegelijkertijd worden de metadata met betrekking tot de geëxfiltreerde informatie verzonden naar een externe Command-and-Control-server (C2, C&C). Opgemerkt moet worden dat het IP-adres dat is gekoppeld aan het C2-domein van de operaties eerder is gekoppeld aan meerdere andere stealer-families, waaronder Predator Stealer , Nixscare Stealer, QuasarRAT en BloodyStealer.

Trending

Bezig met laden...