Saintstealer-malware

Beveiligingsonderzoekers hebben onlangs een nieuwe kwaadaardige lading beschreven. De malware in kwestie is een infostealer met rijke functionaliteit met de codenaam Saintstealer.

Saintstealer kan zowel systeeminformatie als diverse inloggegevens schrapen en exfiltreren. Gedistribueerd onder de bestandsnaam "saintgang.exe", is Saintstealer gecompileerd als een 32-bits uitvoerbaar bestand dat gebruikmaakt van het .NET-framework. Zoals te verwachten is, heeft de malware ingebouwde antivirtualisatiemaatregelen, zodat het honeypots en testbeds van onderzoekers kan vermijden.

De infostealer gaat verder dan wat de meeste vergelijkbare malware kan doen. Saintstealer kan automatisch ingevulde gegevens uit Chrome en Edge halen en cookies en wachtwoorden stelen. Het kan ook Discord multi-factor authenticatietokens onderscheppen en informatie stelen van geïnstalleerde exemplaren van Telegram en een aantal populaire VPN-applicaties. De malware kan ook platte tekst en MS Word-documenten verzamelen.

Zodra de gegevensverzameling is voltooid, zipt Saintstealer alles in een enkel archiefbestand, plaatst er een wachtwoord op en stuurt het naar de malware-operators. Daarnaast worden de metadata die tijdens het verzamelings- en exfiltratieproces zijn vastgelegd, doorgegeven aan de command and control-server van de malware.

Het IP-adres dat Saintstealer als serverinfrastructuur gebruikt, is hetzelfde adres dat wordt gebruikt door oudere infostealer-bedreigingen zoals EchelonStealer en QuasarRAT.

Saintstealer wordt verkocht als een abonnementsservice, voor $ 100 per maand. Een eenmalige levenslange "licentie" voor de kwaadaardige tool wordt ook aangeboden op hackerforums voor een bedrag van $900.

Infostealers lijken misschien een relatief laagdrempelige malware, maar in werkelijkheid kunnen ze, afhankelijk van de aard van de gestolen informatie, aanzienlijke schade toebrengen aan zowel organisaties als commerciële entiteiten en thuisgebruikers.