Saintstealer

Саинтстеалер је малвер заснован на Ц# .НЕТ-у, дизајниран да ухвати и ексфилтрира различите поверљиве податке из компромитованих система. Претња је способна да извуче акредитиве рачуна, системске информације, број кредитне/дебитне картице и друге осетљиве информације. Детаљи о Саинстеалер-у откривени су јавности у извештају истраживача безбедности.

Приписан банди сајбер-криминалаца Саинт, крадљивац информација се испушта на оштећене уређаје као 32-битна извршна датотека под називом „саинтганг.еке“. Пре него што активира своју примарну функционалност, Саинстеалер обавља неколико провера да ли има знакова виртуелизације и окружења са сандбоком. Ако провере антианализе открију нешто сумњиво, претња ће прекинути њено извршење.

Међутим, када се једном успостави на уређају, Саинтстеалер ће почети да снима широк спектар података прављењем произвољних снимака екрана, прикупљањем лозинки, приступањем колачићима и читањем података аутоматског попуњавања сачуваних у претраживачима заснованим на Цхромиум-у (Гоогле Цхроме, Едге, Опера, Браве, Вивалди , Иандек и још много тога). Претња такође може да набави Дисцорд вишефакторске токене за аутентификацију, прикупи различите типове датотека (.доц, .доцк, .ткт, итд.) и извуче информације из одређених апликација, као што су ВимеВорлд и Телеграм. Саинстеалер такође може да добије одређене информације из више ВПН апликација, укључујући НордВПН, ОпенВПН и ПротонВПН.

Сви добијени подаци биће компримовани и сачувани у ЗИП датотеци заштићеној лозинком. Прикупљене информације ће затим бити ексфилтриране на Телеграм налог под контролом сајбер криминалаца. У исто време, метаподаци који се односе на ексфилтриране информације биће пренети на удаљени сервер за команду и контролу (Ц2, Ц&Ц). Треба напоменути да је ИП адреса повезана са Ц2 доменом операција раније била повезана са више других фамилија крадљиваца, од којих неке укључују Предатор Стеалер , Никсцаре Стеалер, КуасарРАТ и БлоодиСтеалер.