Saintstealerマルウェア

セキュリティ研究者は最近、新しい悪意のあるペイロードについて詳しく説明しました。問題のマルウェアは、Saintstealerというコード名が付けられた豊富な機能を備えたinfostealerです。

Saintstealerは、システム情報とさまざまな資格情報データの両方を取得して盗み出すことができます。ファイル名「saintgang.exe」で配布されるSaintstealerは、.NETFrameworkを使用する32ビットの実行可能ファイルとしてコンパイルされます。予想されるように、マルウェアには仮想化対策が組み込まれているため、ハニーポットや研究者のテストベッドを回避できます。

infostealerは、ほとんどの同様のマルウェアが実行できることを超えています。 Saintstealerは、ChromeとEdgeからフォームの自動入力データを取得し、Cookieとパスワードを盗むことができます。また、Discordの多要素認証トークンを傍受し、インストールされているTelegramのインスタンスや多くの一般的なVPNアプリケーションから情報を盗むこともできます。このマルウェアは、プレーンテキストおよびMSWordドキュメントも収集できます。

データ収集が完了すると、Saintstealerはすべてを1つのアーカイブファイルに圧縮し、パスワードを設定してマルウェアオペレーターに送信します。これに加えて、収集および抽出プロセス中に記録されたメタデータは、マルウェアのコマンドアンドコントロールサーバーに渡されます。

Saintstealerがサーバーインフラストラクチャとして使用するIPアドレスは、EchelonStealerやQuasarRATなどの古いinfostealer脅威で使用されるものと同じです。

Saintstealerは、サブスクリプションサービスとして月額100ドルで販売されています。悪意のあるツールに対する1回限りの購入期間の「ライセンス」も、ハッカーフォーラムで合計900ドルで提供されます。

インフォスティーラーは比較的脅威の少ないマルウェアのように見えるかもしれませんが、実際には、盗まれた情報の性質によっては、組織と営利団体およびホームユーザーの両方に重大な損害を与える可能性があります。

May 11, 2022