Saintstealer

Saintstealer är en C# .NET-baserad skadlig kod, designad för att fånga och exfiltrera olika konfidentiella data från komprometterade system. Hotet kan ta bort kontouppgifter, systeminformation, kredit-/betalkortsnummer och annan känslig information. Detaljer om Sainstealer avslöjades för allmänheten i en rapport från säkerhetsforskare.

Tillskriven Saint cyberkriminella gänget, släpps informationsstjälen på enheter som har brutits som en 32-bitars körbar fil med namnet 'saintgang.exe'. Innan Sainstealer aktiverar sin primära funktion utför flera kontroller efter tecken på virtualisering och sandlådemiljöer. Om antianalyskontrollerna upptäcker något skumt kommer hotet att avbryta exekveringen.

Men när Saintstealer väl har etablerats på enheten kommer Saintstealer att börja fånga ett brett utbud av data genom att ta godtyckliga skärmdumpar, samla in lösenord, komma åt cookies och läsa autofylldata som sparats i Chromium-baserade webbläsare (Google Chrome, Edge, Opera, Brave, Vivaldi , Yandex och mer). Hotet kan också förvärva Discord multi-factor autentiseringstokens, samla in olika filtyper (.doc, .docx, .txt, etc.) och extrahera information från vissa applikationer, såsom VimeWorld och Telegram. Sainstealer kan också få viss information från flera VPN-applikationer, inklusive NordVPN, OpenVPN och ProtonVPN.

All erhållen data kommer att komprimeras och lagras i en lösenordsskyddad ZIP-fil. Den insamlade informationen kommer sedan att exfiltreras till ett Telegram-konto under kontroll av cyberbrottslingar. Samtidigt kommer metadata relaterade till den exfiltrerade informationen att överföras till en fjärrstyrd kommando-och-kontroll-server (C2, C&C). Det bör noteras att IP-adressen som är kopplad till C2-domänen för operationerna har tidigare länkats till flera andra stjälarfamiljer, av vilka några inkluderar Predator Stealer , Nixscare Stealer, QuasarRAT och BloodyStealer.