Malware Saintstealer

Pesquisadores de segurança detalharam recentemente uma nova carga maliciosa. O malware em questão é um infostealer com funcionalidades ricas que recebeu o codinome Saintstealer.

Saintstealer pode raspar e exfiltrar informações do sistema e dados de credenciais variadas. Distribuído sob o nome de arquivo "saintgang.exe", Saintstealer é compilado como um executável de 32 bits que usa a estrutura .NET. Como pode ser esperado, o malware possui medidas antivirtualização integradas para que possa evitar honeypots e bancos de testes de pesquisadores.

O infostealer vai além do que a maioria dos malwares semelhantes podem fazer. Saintstealer pode pegar dados de preenchimento automático de formulários do Chrome e Edge e roubar cookies e senhas. Ele também pode interceptar tokens de autenticação multifator do Discord e roubar informações de instâncias instaladas do Telegram e vários aplicativos VPN populares. O malware também pode coletar texto simples e documentos do MS Word.

Quando a coleta de dados é concluída, o Saintstealer compacta tudo em um único arquivo, coloca uma senha nele e o envia para os operadores de malware. Além disso, os metadados registrados durante o processo de coleta e exfiltração são passados para o servidor de comando e controle do malware.

O endereço IP que Saintstealer usa como infraestrutura de servidor é o mesmo usado por ameaças mais antigas de infostealer, como EchelonStealer e QuasarRAT.

Saintstealer é vendido como um serviço de assinatura, por US$ 100 por mês. Uma "licença" vitalícia de compra única para a ferramenta maliciosa também é oferecida em fóruns de hackers pela soma de US$ 900.

Os infostealers podem parecer um malware relativamente de baixa ameaça, mas na realidade, dependendo da natureza das informações roubadas, podem causar danos significativos a organizações e entidades comerciais e usuários domésticos.