Saintstealer
Saintstealer 是一种基于 C# .NET 的恶意软件,旨在从受感染的系统中捕获和泄露各种机密数据。该威胁能够窃取帐户凭据、系统信息、信用卡/借记卡号和其他敏感信息。安全研究人员在一份报告中向公众披露了有关 Sainstealer 的详细信息。
归因于 Saint 网络犯罪团伙,信息窃取程序以名为“saintgang.exe”的 32 位可执行文件的形式投放到被破坏的设备上。在激活其主要功能之前,Sainstealer 会对虚拟化和沙盒环境的迹象进行多次检查。如果反分析检查检测到可疑的东西,威胁将终止其执行。
但是,一旦在设备上建立,Saintstealer 将开始通过截取任意屏幕截图、收集密码、访问 cookie 以及读取保存在基于 Chromium 的浏览器(Google Chrome、Edge、Opera、Brave、Vivaldi)中的自动填充数据来捕获广泛的数据、Yandex 等)。该威胁还可能获取 Discord 多因素身份验证令牌,收集各种文件类型(.doc、.docx、.txt 等),并从某些应用程序(例如 VimeWorld 和 Telegram)中提取信息。 Sainstealer 还可能从多个 VPN 应用程序中获取某些信息,包括 NordVPN、OpenVPN 和 ProtonVPN。
所有获得的数据将被压缩并存储在受密码保护的 ZIP 文件中。然后,收集到的信息将被转移到网络犯罪分子控制下的 Telegram 帐户中。同时,与泄露信息相关的元数据将被传输到远程命令与控制(C2,C&C)服务器。需要注意的是,与该操作的 C2 域相关联的 IP 地址之前已与多个其他窃取器家族相关联,其中一些包括Predator Stealer 、Nixscare Stealer、 QuasarRAT和 BloodyStealer。
