Saintstealer

Saintstealer je malvér založený na C# .NET, navrhnutý na zachytávanie a exfiltráciu rôznych dôverných údajov z napadnutých systémov. Hrozba je schopná získať prihlasovacie údaje k účtu, systémové informácie, číslo kreditnej/debetnej karty a ďalšie citlivé informácie. Podrobnosti o Sainstealer boli verejnosti odhalené v správe bezpečnostných výskumníkov.

Zlodej informácií, ktorý je pripísaný gangu kyberzločincov Saint, sa na napadnuté zariadenia dostane ako 32-bitový spustiteľný súbor s názvom „saintgang.exe“. Pred aktiváciou primárnej funkcionality Sainstealer vykoná niekoľko kontrol na známky virtualizácie a prostredia sandbox. Ak antianalytické kontroly zistia niečo nebezpečné, hrozba ukončí svoju realizáciu.

Po zavedení do zariadenia však Saintstealer začne zachytávať širokú škálu údajov vytváraním ľubovoľných snímok obrazovky, zhromažďovaním hesiel, prístupom k súborom cookie a čítaním údajov automatického dopĺňania uložených v prehliadačoch založených na prehliadači Chromium (Google Chrome, Edge, Opera, Brave, Vivaldi , Yandex a ďalšie). Hrozba môže tiež získať tokeny viacfaktorovej autentifikácie Discord, zhromažďovať rôzne typy súborov (.doc, .docx, .txt atď.) a extrahovať informácie z určitých aplikácií, ako sú VimeWorld a Telegram. Sainstealer môže tiež získať určité informácie z viacerých aplikácií VPN, vrátane NordVPN, OpenVPN a ProtonVPN.

Všetky získané údaje budú skomprimované a uložené v súbore ZIP chránenom heslom. Zhromaždené informácie budú následne prenesené na telegramový účet pod kontrolou kyberzločincov. Súčasne sa metadáta súvisiace s vylúčenými informáciami prenesú na vzdialený server Command-and-Control (C2, C&C). Je potrebné poznamenať, že IP adresa spojená s doménou C2 operácií bola predtým prepojená s viacerými ďalšími rodinami zlodejov, z ktorých niektoré zahŕňajú Predator Stealer , Nixscare Stealer, QuasarRAT a BloodyStealer.