Saintstealer Malware

Sikkerhedsforskere detaljerede for nylig en ny ondsindet nyttelast. Den pågældende malware er en infostealer med rig funktionalitet, der fik kodenavnet Saintstealer.

Saintstealer kan skrabe og eksfiltrere både systemoplysninger og diverse legitimationsdata. Distribueret under filnavnet "saintgang.exe", er Saintstealer kompileret som en 32-bit eksekverbar fil, der bruger .NET frameworket. Som det kan forventes, har malwaren indbyggede anti-virtualiseringstiltag, så den kan undgå honeypots og forskertestbed.

Infostealeren går ud over, hvad de fleste lignende malware kan gøre. Saintstealer kan få fat i autofill-data fra Chrome og Edge og stjæle cookies og adgangskoder. Det kan også opsnappe Discord multi-faktor autentificeringstokens og stjæle information fra installerede forekomster af Telegram og en række populære VPN-applikationer. Malwaren kan også indsamle almindelig tekst og MS Word-dokumenter.

Når dataindsamlingen er færdig, zipper Saintstealer alt sammen i en enkelt arkivfil, sætter en adgangskode på den og sender den til malware-operatørerne. Ud over dette videregives de metadata, der registreres under indsamlings- og eksfiltreringsprocessen, til malwarens kommando- og kontrolserver.

IP-adressen, som Saintstealer bruger som sin serverinfrastruktur, er den samme, som bruges af ældre infostealer-trusler såsom EchelonStealer og QuasarRAT.

Saintstealer sælges som en abonnementstjeneste for $100 pr. måned. En engangskøb livstids "licens" til det ondsindede værktøj tilbydes også på hackerfora for en sum af $900.

Infostealere kan virke som en relativt lavtrusende malware, men i virkeligheden kan de, afhængigt af arten af den stjålne information, forårsage betydelig skade på både organisationer og kommercielle enheder og hjemmebrugere.

May 11, 2022