Saintstealer

Saintstealer — це зловмисне програмне забезпечення на основі C# .NET, призначене для захоплення та вилучення різних конфіденційних даних із зламаних систем. Загроза здатна викачувати облікові дані облікового запису, системну інформацію, номер кредитної/дебетової картки та іншу конфіденційну інформацію. Деталі про Sainstealer були розкриті громадськості у звіті дослідників безпеки.

Віднесений до банди кіберзлочинців Saint, викрадач інформації передається на зламані пристрої у вигляді 32-розрядного виконуваного файлу під назвою "saintgang.exe". Перш ніж активувати свою основну функціональність, Sainstealer виконує кілька перевірок на наявність ознак віртуалізації та пісочниць. Якщо перевірки антианалізу виявлять щось неприємне, загроза припиняє її виконання.

Однак після встановлення на пристрої Saintstealer почне фіксувати широкий спектр даних, роблячи довільні знімки екрана, збираючи паролі, відкриваючи файли cookie та зчитуючи дані автозаповнення, збережені в браузерах на основі Chromium (Google Chrome, Edge, Opera, Brave, Vivaldi , Яндекс тощо). Загроза також може отримати маркери багатофакторної автентифікації Discord, збирати різні типи файлів (.doc, .docx, .txt тощо) та витягувати інформацію з певних програм, таких як VimeWorld та Telegram. Sainstealer також може отримати певну інформацію з кількох програм VPN, включаючи NordVPN, OpenVPN та ProtonVPN.

Усі отримані дані будуть стиснуті та збережені в захищеному паролем ZIP-файлі. Зібрана інформація потім буде вилучена в обліковий запис Telegram під контролем кіберзлочинців. У той же час метадані, пов’язані з вилученою інформацією, будуть передані на віддалений сервер командування та керування (C2, C&C). Слід зазначити, що IP-адреса, пов’язана з доменом C2 операцій, раніше була пов’язана з кількома іншими сімействами злодіїв, деякі з яких включають Predator Stealer, Nixscare Stealer, QuasarRAT і BloodyStealer.