Saint Bot Malware
Os especialistas em cibersegurança detectaram um novo dropper de malware lançado recentemente que parece estar ganhando força entre os círculos de hackers. Chamada Saint Bot Malware, a ameaça pode não exibir nenhuma capacidade nunca vista antes, mas a ampla gama de técnicas usadas em sua criação mostra que o desenvolvedor definitivamente possui conhecimento sobre o design de malware.
O ataque do malware Saint Bot é um processo complicado que passa por várias etapas intermediárias. O vetor de comprometimento inicial é um e-mail de phishing contendo um anexo armado. O arquivo - 'bitcoin.zip' finge ser uma carteira Bitcoin, embora, na verdade, seja um script do PowerShell. Durante o próximo estágio, o script do PowerShell descarta um novo malware em um executável WindowsUpdate.exe, que então entrega um segundo executável denominado InstallUtil.exe. Finalmente, os dois últimos executáveis são trazidos para o sistema infectado - 'def.exe' é um script em lote projetado para desativar o Windows Defender, enquanto 'putty.exe' contém a carga útil principal do Saint Bot. A ameaça de malware, em seguida, estabeleceu uma conexão com seus servidores de comando e controle (C2, C&C) e aguarda instruções para exploração posterior da vítima.
Técnicas Poderosas de Evasão e Anti-Detecção
O malware Saint Bot tem três funcionalidades maliciosas:
1. Busca e executa cargas de malware adicionais do servidor C2. Até agora, essas cargas úteis foram principalmente para os ladrões de informações, tais como o Taurus Stealer ou droppers de estágio intermediário. O Saint Bot, no entanto, é capaz de descartar qualquer tipo de carga de malware.
2. Atualizando-se
3. Removendo-se completamente da máquina comprometida para cobrir seus rastros
Embora definitivamente não seja a ameaça mais versátil que existe, o Saint Bot é inegavelmente eficaz. Sua ofuscação que está presente em toda a cadeia de ataque é apoiada por várias técnicas anti-análise. Como resultado, o Saint Bot é extremamente escorregadio e pode permitir que o agente da ameaça explore o dispositivo comprometido sem ser notado.
Além disso, o Saint Bot realiza digitalizações de depuradores ou se está sendo executado em um ambiente virtual. A ameaça de malware também está programada para interromper a sua execução se a vítima infectada pertencer a uma lista de países da região da CEI (Comunidade de Estados Independentes) - Romênia, Armênia, Cazaquistão, Moldávia, Rússia, Ucrânia e Bielo-Rússia.