Saint Bot Malware

Eksperci ds. Cyberbezpieczeństwa wykryli niedawno uruchomioną aplikację do usuwania złośliwego oprogramowania, która wydaje się zyskiwać na popularności w kręgach hakerów. Zagrożenie to, nazwane złośliwym oprogramowaniem Saint Bot, może nie wykazywać żadnych nigdy wcześniej nie widzianych możliwości, ale szeroki wachlarz technik zastosowanych przy jego tworzeniu pokazuje, że deweloper zdecydowanie posiada wiedzę na temat projektowania złośliwego oprogramowania.

Atak złośliwego oprogramowania Saint Bot to skomplikowany proces, który obejmuje kilka etapów pośrednich. Początkowym wektorem ataku jest wiadomość phishingowa zawierająca uzbrojony załącznik. Plik - „bitcoin.zip” udaje portfel Bitcoin, podczas gdy w rzeczywistości jest to skrypt PowerShell. W następnym etapie skrypt PowerShell umieszcza nowe złośliwe oprogramowanie w pliku wykonywalnym WindowsUpdate.exe, który następnie dostarcza drugi plik wykonywalny o nazwie InstallUtil.exe. Wreszcie, do zainfekowanego systemu przenoszone są dwa ostatnie pliki wykonywalne - „def.exe” to skrypt wsadowy przeznaczony do wyłączania programu Windows Defender, podczas gdy „putty.exe” zawiera główny ładunek Saint Bot. Zagrożenie przez złośliwe oprogramowanie nawiązało następnie połączenie ze swoimi serwerami typu Command-and-Control (C2, C&C) i oczekuje na instrukcje dalszej eksploatacji ofiary.

Potężne techniki unikania i wykrywania

Malware Saint Bot ma trzy złośliwe funkcje:

1. Pobierz i uruchom dodatkowe ładunki złośliwego oprogramowania z serwera C2. Do tej pory te ładunki były przeznaczone głównie dla złodziei informacji, takich jak Taurus Stealer lub dropperów na średnim etapie. Jednak Saint Bot jest w stanie upuścić dowolny ładunek złośliwego oprogramowania.

2. Aktualizacja się

3. Całkowite usunięcie się z zagrożonej maszyny, aby zatrzeć jej ślady

Chociaż zdecydowanie nie jest to najbardziej wszechstronne zagrożenie, Saint Bot jest niezaprzeczalnie skuteczne. Jego zaciemnianie, które jest obecne w całym łańcuchu ataków, jest obsługiwane przez kilka technik antyanalizowych. W rezultacie Saint Bot jest wyjątkowo śliski i może pozwolić hakerowi na wykorzystanie zaatakowanego urządzenia bez zauważenia.

Ponadto Saint Bot sprawdza, czy nie ma debuggerów lub czy jest uruchamiany w środowisku wirtualnym. Zagrożenie przez złośliwe oprogramowanie jest również zaprogramowane tak, aby wstrzymać wykonanie, jeśli zainfekowana ofiara pochodzi z listy krajów w regionie WNP (Wspólnoty Niepodległych Państw) - Rumunii, Armenii, Kazachstanu, Mołdawii, Rosji, Ukrainy i Białorusi.