„Saintstealer“ kenkėjiška programa

Saugumo tyrinėtojai neseniai detalizavo naują kenkėjišką naudingą apkrovą. Nagrinėjama kenkėjiška programa yra informacijos vagystė su daugybe funkcijų, kuri buvo kodiniu pavadinimu Saintstealer.

„Saintstealer“ gali nuskaityti ir išfiltruoti tiek sistemos informaciją, tiek įvairius kredencialų duomenis. „Saintstealer“, platinama failo pavadinimu „saintgang.exe“, yra sudaryta kaip 32 bitų vykdomasis failas, kuriame naudojama .NET sistema. Kaip ir galima tikėtis, kenkėjiškoje programoje yra įmontuotų antivirtualizacijos priemonių, kad būtų išvengta medaus puodų ir tyrėjų bandymų vietų.

„Infostealer“ viršija tai, ką gali padaryti dauguma panašių kenkėjiškų programų. „Saintstealer“ gali paimti formų automatinio pildymo duomenis iš „Chrome“ ir „Edge“ ir pavogti slapukus bei slaptažodžius. Jis taip pat gali perimti „Discord“ kelių veiksnių autentifikavimo žetonus ir pavogti informaciją iš įdiegtų „Telegram“ egzempliorių ir daugelio populiarių VPN programų. Kenkėjiška programa taip pat gali rinkti paprastą tekstą ir MS Word dokumentus.

Kai duomenų rinkimas baigtas, Saintstealer viską suglaudina į vieną archyvo failą, įdeda slaptažodį ir išsiunčia kenkėjiškų programų operatoriams. Be to, rinkimo ir išfiltravimo proceso metu įrašyti metaduomenys perduodami kenkėjiškos programos komandų ir valdymo serveriui.

IP adresas, kurį Saintstealer naudoja kaip savo serverio infrastruktūrą, yra tas pats, kurį naudoja senesnės infostealer grėsmės, tokios kaip EchelonStealer ir QuasarRAT.

Saintstealer parduodamas kaip prenumeratos paslauga už 100 USD per mėnesį. Įsilaužėlių forumuose taip pat siūloma vienkartinė kenkėjiško įrankio „licencija“ visam gyvenimui už 900 USD.

„Infostealers“ gali atrodyti kaip santykinai mažos grėsmės kenkėjiška programa, tačiau iš tikrųjų, atsižvelgiant į pavogtos informacijos pobūdį, jie gali padaryti didelę žalą tiek organizacijoms, tiek komerciniams subjektams, tiek namų vartotojams.