Saintstealer Malware

Sikkerhetsforskere detaljerte nylig en ny ondsinnet nyttelast. Den aktuelle skadevare er en infostealer med rik funksjonalitet som fikk kodenavnet Saintstealer.

Saintstealer kan skrape og eksfiltrere både systeminformasjon og diverse legitimasjonsdata. Distribuert under filnavnet "saintgang.exe", er Saintstealer kompilert som en 32-biters kjørbar fil som bruker .NET-rammeverket. Som man kan forvente, har skadevaren innebygde antivirtualiseringstiltak slik at den kan unngå honningpotter og forskertestbed.

Infostealeren går utover hva de fleste lignende skadevare kan gjøre. Saintstealer kan hente autofylldata fra Chrome og Edge, og stjele informasjonskapsler og passord. Den kan også avskjære Discord multifaktorautentiseringstokener og stjele informasjon fra installerte forekomster av Telegram og en rekke populære VPN-applikasjoner. Skadevaren kan også samle ren tekst og MS Word-dokumenter.

Når datainnsamlingen er fullført, komprimerer Saintstealer alt i en enkelt arkivfil, legger et passord på den og sender det til skadevareoperatørene. I tillegg til dette, sendes metadataene som er registrert under innsamlings- og eksfiltreringsprosessen til skadevarens kommando- og kontrollserver.

IP-adressen som Saintstealer bruker som serverinfrastruktur er den samme som brukes av eldre infostealer-trusler som EchelonStealer og QuasarRAT.

Saintstealer selges som en abonnementstjeneste, for $100 per måned. En engangskjøp livstids "lisens" til det skadelige verktøyet tilbys også på hackerfora for en sum av $900.

Infostelere kan virke som en relativt lavtruende skadelig programvare, men i virkeligheten, avhengig av informasjonen som stjeles, kan de forårsake betydelig skade på både organisasjoner og kommersielle enheter og hjemmebrukere.

May 11, 2022