Saintstealer

Saintstealer เป็นมัลแวร์บน C# .NET ที่ออกแบบมาเพื่อดักจับและกรองข้อมูลที่เป็นความลับออกจากระบบที่ถูกบุกรุก ภัยคุกคามนี้สามารถดูดเอาข้อมูลประจำตัวของบัญชี ข้อมูลระบบ หมายเลขบัตรเครดิต/เดบิต และข้อมูลสำคัญอื่นๆ รายละเอียดเกี่ยวกับ Sainstealer ถูกเปิดเผยต่อสาธารณชนในรายงานโดยนักวิจัยด้านความปลอดภัย

เนื่องมาจากกลุ่มอาชญากรไซเบอร์ของ Saint ผู้ขโมยข้อมูลถูกทิ้งลงในอุปกรณ์ที่ถูกละเมิด โดยเป็นไฟล์ปฏิบัติการแบบ 32 บิตที่ชื่อว่า 'saintgang.exe' ก่อนที่จะเปิดใช้งานฟังก์ชันการทำงานหลัก Sainstealer จะทำการตรวจสอบสัญญาณของสภาพแวดล้อมเสมือนจริงและแซนด์บ็อกซ์หลายครั้ง หากการตรวจสอบต่อต้านการวิเคราะห์ตรวจพบสิ่งที่คาว การคุกคามจะยุติการดำเนินการ

อย่างไรก็ตาม เมื่อติดตั้งบนอุปกรณ์แล้ว Saintstealer จะเริ่มบันทึกข้อมูลที่หลากหลายโดยการถ่ายภาพหน้าจอตามอำเภอใจ รวบรวมรหัสผ่าน เข้าถึงคุกกี้ และอ่านข้อมูลป้อนอัตโนมัติที่บันทึกไว้ในเบราว์เซอร์ที่ใช้ Chromium (Google Chrome, Edge, Opera, Brave, Vivaldi , ยานเดกซ์และอื่น ๆ ) ภัยคุกคามยังอาจได้รับโทเค็นการตรวจสอบสิทธิ์แบบหลายปัจจัยของ Discord รวบรวมไฟล์ประเภทต่างๆ (.doc, .docx, .txt เป็นต้น) และดึงข้อมูลจากแอปพลิเคชันบางอย่าง เช่น VimeWorld และ Telegram Sainstealer อาจได้รับข้อมูลบางอย่างจากแอปพลิเคชั่น VPN หลายตัวรวมถึง NordVPN, OpenVPN และ ProtonVPN

ข้อมูลที่ได้รับทั้งหมดจะถูกบีบอัดและจัดเก็บไว้ในไฟล์ ZIP ที่ป้องกันด้วยรหัสผ่าน ข้อมูลที่รวบรวมจะถูกขโมยไปยังบัญชี Telegram ภายใต้การควบคุมของอาชญากรไซเบอร์ ในเวลาเดียวกัน เมทาดาทาที่เกี่ยวข้องกับข้อมูลที่ดึงออกมาจะถูกส่งไปยังเซิร์ฟเวอร์ Command-and-Control (C2, C&C) ระยะไกล ควรสังเกตว่าที่อยู่ IP ที่เชื่อมโยงกับโดเมน C2 ของการดำเนินการนั้นเคยเชื่อมโยงกับกลุ่มผู้ขโมยข้อมูลหลายราย ซึ่งบางส่วนรวมถึง Predator Stealer , Nixscare Stealer, QuasarRAT และ BloodyStealer