Вредоносное ПО Saintstealer

Исследователи безопасности недавно подробно описали новую вредоносную полезную нагрузку. Вредоносная программа, о которой идет речь, представляет собой информационный стилер с богатым функционалом, получивший кодовое название Saintstealer.

Saintstealer может очищать и удалять как системную информацию, так и различные учетные данные. Saintstealer, распространяемый под именем файла «saintgang.exe», скомпилирован как 32-разрядный исполняемый файл, использующий платформу .NET. Как и следовало ожидать, вредоносное ПО имеет встроенные средства защиты от виртуализации, поэтому оно может избегать приманок и испытательных стендов исследователей.

Инфостилер выходит за рамки того, что может сделать большинство подобных вредоносных программ. Saintstealer может получать данные автозаполнения форм из Chrome и Edge, а также красть файлы cookie и пароли. Он также может перехватывать токены многофакторной аутентификации Discord и красть информацию из установленных экземпляров Telegram и ряда популярных приложений VPN. Вредонос также может собирать обычный текст и документы MS Word.

После завершения сбора данных Saintstealer заархивирует все в один архивный файл, поставит на него пароль и отправит его операторам вредоносного ПО. Кроме того, метаданные, записанные в процессе сбора и эксфильтрации, передаются на командный сервер вредоносного ПО.

IP-адрес, который Saintstealer использует в качестве серверной инфраструктуры, совпадает с адресом, используемым более старыми угрозами для кражи информации, такими как EchelonStealer и QuasarRAT.

Saintstealer продается по подписке за 100 долларов в месяц. На хакерских форумах также предлагается разовая пожизненная «лицензия» на вредоносную программу за 900 долларов.

Infostealers могут показаться относительно малоопасными вредоносными программами, но на самом деле, в зависимости от характера украденной информации, они могут нанести значительный ущерб как организациям, так и коммерческим организациям и домашним пользователям.