Saint Bot Malware

Cybersäkerhetsexperter har fångat en ny nyligen lanserad malware-dropper som verkar få fart mellan hackarkretsar. Med namnet Saint Bot-malware kan hotet inte uppvisa några aldrig tidigare sett funktioner, men det stora utbudet av tekniker som används vid skapandet visar att utvecklaren definitivt besitter kunskap om malware-design.

Saint Bot-skadan är en komplicerad process som går igenom flera mellansteg. Den första kompromissvektorn är ett phishing-e-postmeddelande med en vapendriven bilaga. Filen - 'bitcoin.zip' låtsas vara en Bitcoin-plånbok medan det faktiskt är ett PowerShell-skript. Under nästa steg tappar PowerShell-skriptet en ny skadlig kod i en WindowsUpdate.exe-körbar, som sedan levererar en andra körbar med namnet InstallUtil.exe. Slutligen tas de två sista körningarna till det infekterade systemet - 'def.exe' är ett batch-skript som är utformat för att inaktivera Windows Defender medan 'putty.exe' innehåller den viktigaste Saint Bot-nyttolasten. Malwarhotet skapade sedan en anslutning med sina Command-and-Control-servrar (C2, C&C) och väntar på instruktioner för vidare utnyttjande av offret.

Kraftfull undvikande och antidetektionsmetoder

Saint Bot-skadlig kod har tre skadliga funktioner:

1. Hämta och kör ytterligare nyttolast för skadlig programvara från C2-servern. Hittills har dessa nyttolaster mest varit för informationsstålare som Taurus Stealer eller droppar i mitten. Saint Bot kan dock tappa alla typer av skadlig nyttolast.

2. Uppdaterar sig själv

3. Ta helt bort sig själv från den komprometterade maskinen för att täcka dess spår

Även om det definitivt inte är det mest mångsidiga hotet där ute, är Saint Bot onekligen effektivt. Dess fördunkning som finns i hela attackkedjan stöds av flera anti-analystekniker. Som ett resultat är Saint Bot extremt hal och kan tillåta hotaktören att utnyttja den komprometterade enheten utan att märkas.

Dessutom utför Saint Bot kontroller för avlusare eller om den körs i en virtuell miljö. Malwarhotet är också programmerat för att stoppa dess exekvering om det infekterade offret kommer från en lista över länder inom OSS-regionen (Commonwealth of Independent States) - Rumänien, Armenien, Kazakstan, Moldavien, Ryssland, Ukraina och Vitryssland.