Logiciel malveillant Saintstealer

Les chercheurs en sécurité ont récemment détaillé une nouvelle charge utile malveillante. Le malware en question est un voleur d'informations doté de fonctionnalités riches et dont le nom de code était Saintstealer.

Saintstealer peut récupérer et exfiltrer à la fois les informations système et diverses données d'identification. Distribué sous le nom de fichier "saintgang.exe", Saintstealer est compilé en tant qu'exécutable 32 bits qui utilise le framework .NET. Comme on peut s'y attendre, le logiciel malveillant intègre des mesures anti-virtualisation lui permettant d'éviter les pots de miel et les bancs d'essai des chercheurs.

Le voleur d'informations va au-delà de ce que la plupart des logiciels malveillants similaires peuvent faire. Saintstealer peut récupérer les données de remplissage automatique des formulaires à partir de Chrome et Edge, et voler des cookies et des mots de passe. Il peut également intercepter les jetons d'authentification multifacteur Discord et voler des informations à partir des instances installées de Telegram et d'un certain nombre d'applications VPN populaires. Le logiciel malveillant peut également collecter du texte brut et des documents MS Word.

Une fois la collecte de données terminée, Saintstealer compresse tout dans un seul fichier d'archive, y met un mot de passe et l'envoie aux opérateurs de logiciels malveillants. De plus, les métadonnées enregistrées lors du processus de collecte et d'exfiltration sont transmises au serveur de commande et de contrôle du logiciel malveillant.

L'adresse IP que Saintstealer utilise comme infrastructure de serveur est la même que celle utilisée par les anciennes menaces d'infostealer telles que EchelonStealer et QuasarRAT.

Saintstealer est vendu sous forme de service d'abonnement, pour 100 $ par mois. Une "licence" à vie d'achat unique pour l'outil malveillant est également proposée sur les forums de pirates pour la somme de 900 $.

Les voleurs d'informations peuvent sembler être des logiciels malveillants relativement peu dangereux, mais en réalité, selon la nature des informations volées, ils peuvent causer des dommages importants aux organisations, aux entités commerciales et aux utilisateurs à domicile.

May 11, 2022