Saintstealer

Saintstealer Paglalarawan

Ang Saintstealer ay isang C# .NET-based na malware, na idinisenyo upang makuha at i-exfiltrate ang iba't ibang kumpidensyal na data mula sa mga nakompromisong system. Ang banta ay may kakayahang magsipsip ng mga kredensyal ng account, impormasyon ng system, numero ng credit/debit card at iba pang sensitibong impormasyon. Ang mga detalye tungkol sa Sainstealer ay inihayag sa publiko sa isang ulat ng mga mananaliksik sa seguridad.

Na-attribute sa Saint cybercriminal gang, ang nagnanakaw ng impormasyon ay ibinabagsak sa mga nilabag na device bilang isang 32-bit executable file na pinangalanang 'saintgang.exe.' Bago i-activate ang pangunahing functionality nito, nagsasagawa ang Sainstealer ng ilang pagsusuri para sa mga senyales ng virtualization at sandbox environment. Kung matukoy ng mga pagsusuring anti-analysis ang isang bagay na hindi kapani-paniwala, wawakasan ng banta ang pagpapatupad nito.

Gayunpaman, kapag naitatag na sa device, sisimulan ng Saintstealer ang pagkuha ng malawak na hanay ng data sa pamamagitan ng pagkuha ng mga arbitrary na screenshot, pangangalap ng mga password, pag-access sa cookies, at pagbabasa ng autofill data na naka-save sa mga browser na nakabatay sa Chromium (Google Chrome, Edge, Opera, Brave, Vivaldi , Yandex at higit pa). Ang banta ay maaari ding makakuha ng Discord multi-factor authentication token, mangolekta ng iba't ibang uri ng file (.doc, .docx, .txt, atbp.), at kumuha ng impormasyon mula sa ilang partikular na application, gaya ng VimeWorld at Telegram. Ang Sainstealer ay maaari ding makakuha ng ilang partikular na impormasyon mula sa maraming aplikasyon ng VPN, kabilang ang NordVPN, OpenVPN at ProtonVPN.

Ang lahat ng nakuhang data ay mai-compress at maiimbak sa isang ZIP file na protektado ng password. Ang nakolektang impormasyon ay ilalabas sa isang Telegram account sa ilalim ng kontrol ng mga cybercriminal. Kasabay nito, ang metadata na nauugnay sa na-exfiltrate na impormasyon ay ipapadala sa isang remote na Command-and-Control (C2, C&C) server. Dapat tandaan na ang IP address na naka-link sa C2 domain ng mga operasyon ay dati nang na-link sa marami pang ibang pamilya ng magnanakaw, ang ilan ay kinabibilangan ng Predator Stealer , Nixscare Stealer, QuasarRAT at BloodyStealer.