Saintstealer Malware

A biztonsági kutatók nemrég egy új rosszindulatú rakományt részleteztek. A szóban forgó rosszindulatú program egy gazdag funkcionalitású infostealer, amelynek kódneve Saintstealer.

A Saintstealer képes lekaparni és kiszűrni mind a rendszerinformációkat, mind a különféle hitelesítő adatokat. A "saintgang.exe" fájlnéven terjesztett Saintstealer 32 bites végrehajtható fájlként van fordítva, amely a .NET keretrendszert használja. Amint az várható volt, a kártevő beépített antivirtualizációs intézkedéseket tartalmaz, így elkerülheti a mézesmadzagokat és a kutatói tesztágyakat.

Az infostealer túlmutat azon, amit a legtöbb hasonló rosszindulatú program képes. A Saintstealer lekérheti az űrlapok automatikus kitöltési adatait a Chrome-ból és az Edge-ből, és ellophatja a cookie-kat és a jelszavakat. Ezenkívül képes elfogni a Discord többtényezős hitelesítési tokeneket, és információkat lopni a Telegram telepített példányaiból és számos népszerű VPN-alkalmazásból. A kártevő egyszerű szöveges és MS Word dokumentumokat is gyűjthet.

Az adatgyűjtés befejezése után a Saintstealer mindent egyetlen archív fájlba tömörít, jelszót helyez rá, és elküldi a rosszindulatú programok üzemeltetőinek. Ezen túlmenően a begyűjtési és kiszűrési folyamat során rögzített metaadatok a kártevő parancs- és vezérlőkiszolgálójához kerülnek.

A Saintstealer szerverinfrastruktúrájaként használt IP-cím ugyanaz, mint a régebbi infostealer fenyegetések, például az EchelonStealer és a QuasarRAT.

A Saintstealer előfizetéses szolgáltatásként kerül értékesítésre, havi 100 dollárért. A rosszindulatú eszköz egyszeri vásárlási élettartamára szóló "licencet" a hackerfórumokon is kínálnak 900 dollárért.

Az infolopók viszonylag alacsony veszélyt jelentő rosszindulatú programnak tűnhetnek, de a valóságban az ellopott információ természetétől függően jelentős károkat okozhatnak mind a szervezeteknek, mind a kereskedelmi szervezeteknek és az otthoni felhasználóknak.

May 11, 2022