Malware Saintstealer

I ricercatori di sicurezza hanno recentemente dettagliato un nuovo payload dannoso. Il malware in questione è un infostealer con funzionalità avanzate il cui nome in codice è Saintstealer.

Saintstealer può raschiare ed esfiltrare sia le informazioni di sistema che i dati delle credenziali assortiti. Distribuito con il nome di file "saintgang.exe", Saintstealer è compilato come eseguibile a 32 bit che utilizza il framework .NET. Come ci si può aspettare, il malware ha misure di antivirtualizzazione integrate in modo da poter evitare honeypot e banchi di prova dei ricercatori.

L'infostealer va oltre ciò che può fare la maggior parte dei malware simili. Saintstealer può acquisire i dati di compilazione automatica dei moduli da Chrome e Edge e rubare cookie e password. Può anche intercettare i token di autenticazione a più fattori Discord e rubare informazioni dalle istanze installate di Telegram e da una serie di popolari applicazioni VPN. Il malware può anche raccogliere testo normale e documenti MS Word.

Una volta completata la raccolta dei dati, Saintstealer comprime tutto in un unico file di archivio, inserisce una password e la invia agli operatori di malware. Inoltre, i metadati registrati durante il processo di raccolta ed esfiltrazione vengono passati al server di comando e controllo del malware.

L'indirizzo IP che Saintstealer utilizza come infrastruttura del server è lo stesso utilizzato dalle vecchie minacce di infostealer come EchelonStealer e QuasarRAT.

Saintstealer è venduto come servizio in abbonamento, per $ 100 al mese. Una "licenza" di acquisto una tantum a vita per lo strumento dannoso viene offerta anche sui forum degli hacker per la somma di $ 900.

Gli infostealer possono sembrare un malware con una minaccia relativamente bassa ma in realtà, a seconda della natura delle informazioni rubate, possono causare danni significativi sia alle organizzazioni che alle entità commerciali e agli utenti domestici.

May 11, 2022