Saintstealer Malware

Säkerhetsforskare presenterade nyligen en ny skadlig nyttolast. Skadlig programvara i fråga är en infostealer med rik funktionalitet som fick kodnamnet Saintstealer.

Saintstealer kan skrapa och exfiltrera både systeminformation och diverse inloggningsuppgifter. Distribuerad under filnamnet "saintgang.exe", är Saintstealer kompilerad som en 32-bitars körbar fil som använder .NET-ramverket. Som man kan förvänta sig har skadlig programvara inbyggda antivirtualiseringsåtgärder så att den kan undvika honungskrukor och forskartestbäddar.

Infostealer går utöver vad de flesta liknande skadliga program kan göra. Saintstealer kan ta formulär autofyll-data från Chrome och Edge, och stjäla cookies och lösenord. Den kan också fånga upp Discord multifaktorautentiseringstokens och stjäla information från installerade instanser av Telegram och ett antal populära VPN-applikationer. Skadlig programvara kan också samla in vanlig text och MS Word-dokument.

När datainsamlingen är klar, zippar Saintstealer allt i en enda arkivfil, sätter ett lösenord på den och skickar den till skadlig programvara. Utöver detta skickas metadata som registreras under insamlings- och exfiltreringsprocessen till skadlig programvaras kommando- och kontrollserver.

IP-adressen som Saintstealer använder som sin serverinfrastruktur är densamma som används av äldre infostealerhot som EchelonStealer och QuasarRAT.

Saintstealer säljs som en prenumerationstjänst, för $100 per månad. En engångsköp livstids "licens" till det skadliga verktyget erbjuds också på hackerforum för summan av $900.

Infostealers kan verka som en relativt låghotad skadlig kod, men i verkligheten, beroende på vilken information som stulits, kan de orsaka betydande skada för både organisationer och kommersiella enheter och hemanvändare.

May 11, 2022