Saintstealer

Saintstealer to złośliwe oprogramowanie oparte na C# .NET, zaprojektowane do przechwytywania i eksfiltracji różnych poufnych danych z zaatakowanych systemów. Zagrożenie jest w stanie przechwycić dane uwierzytelniające konta, informacje o systemie, numer karty kredytowej/debetowej i inne poufne informacje. Szczegóły dotyczące Sainstealera zostały ujawnione opinii publicznej w raporcie opracowanym przez badaczy bezpieczeństwa.

Przypisywany cyberprzestępczemu gangowi Saint, złodziej informacji jest upuszczany na zhakowane urządzenia jako 32-bitowy plik wykonywalny o nazwie „saintgang.exe”. Przed aktywacją swojej podstawowej funkcjonalności Sainstealer przeprowadza kilka testów pod kątem oznak środowisk wirtualizacji i piaskownicy. Jeśli testy antyanalityczne wykryją coś podejrzanego, zagrożenie zakończy wykonywanie.

Jednak po zainstalowaniu na urządzeniu Saintstealer zacznie przechwytywać szeroki zakres danych, wykonując dowolne zrzuty ekranu, zbierając hasła, uzyskując dostęp do plików cookie i odczytując dane autouzupełniania zapisane w przeglądarkach opartych na Chromium (Google Chrome, Edge, Opera, Brave, Vivaldi , Yandex i więcej). Zagrożenie może również pozyskiwać tokeny uwierzytelniania wieloskładnikowego Discord, zbierać różne typy plików (.doc, .docx, .txt itp.) oraz wydobywać informacje z niektórych aplikacji, takich jak VimeWorld i Telegram. Sainstealer może również pozyskiwać pewne informacje z wielu aplikacji VPN, w tym NordVPN, OpenVPN i ProtonVPN.

Wszystkie uzyskane dane zostaną skompresowane i zapisane w pliku ZIP chronionym hasłem. Zebrane informacje zostaną następnie przeniesione na konto Telegrama pod kontrolą cyberprzestępców. Jednocześnie metadane związane z eksfiltrowanymi informacjami będą przesyłane do zdalnego serwera Command-and-Control (C2, C&C). Należy zauważyć, że adres IP powiązany z domeną C2 operacji był wcześniej powiązany z wieloma innymi rodzinami złodziei, z których niektóre obejmują Predator Stealer, Nixscare Stealer, QuasarRAT i BloodyStealer.