Saintstealer
Saintstealer 是一種基於 C# .NET 的惡意軟件,旨在從受感染的系統中捕獲和洩露各種機密數據。該威脅能夠竊取帳戶憑據、系統信息、信用卡/借記卡號和其他敏感信息。安全研究人員在一份報告中向公眾披露了有關 Sainstealer 的詳細信息。
歸因於 Saint 網絡犯罪團伙,信息竊取程序以名為“saintgang.exe”的 32 位可執行文件的形式投放到被破壞的設備上。在激活其主要功能之前,Sainstealer 會對虛擬化和沙盒環境的跡象進行多次檢查。如果反分析檢查檢測到可疑的東西,威脅將終止其執行。
但是,一旦在設備上建立,Saintstealer 將開始通過截取任意屏幕截圖、收集密碼、訪問 cookie 以及讀取保存在基於 Chromium 的瀏覽器(Google Chrome、Edge、Opera、Brave、Vivaldi)中的自動填充數據來捕獲廣泛的數據、Yandex 等)。該威脅還可能獲取 Discord 多因素身份驗證令牌,收集各種文件類型(.doc、.docx、.txt 等),並從某些應用程序(例如 VimeWorld 和 Telegram)中提取信息。 Sainstealer 還可能從多個 VPN 應用程序中獲取某些信息,包括 NordVPN、OpenVPN 和 ProtonVPN。
所有獲得的數據都將被壓縮並存儲在受密碼保護的 ZIP 文件中。然後,收集到的信息將被轉移到網絡犯罪分子控制下的 Telegram 帳戶中。同時,與洩露信息相關的元數據將被傳輸到遠程命令與控制(C2,C&C)服務器。需要注意的是,與該操作的 C2 域相關聯的 IP 地址之前已與多個其他竊取器家族相關聯,其中一些包括Predator Stealer 、Nixscare Stealer、 QuasarRAT和 BloodyStealer。
