Saintstealer 恶意软件

安全研究人员最近详细介绍了一种新的恶意负载。有问题的恶意软件是一个具有丰富功能的信息窃取程序,代号为 Saintstealer。

Saintstealer 可以抓取和泄露系统信息和各种凭据数据。 Saintstealer 以文件名“saintgang.exe”分发,被编译为使用 .NET 框架的 32 位可执行文件。正如所料,该恶意软件具有内置的反虚拟化措施,因此它可以避开蜜罐和研究人员测试平台。

信息窃取者超出了大多数类似恶意软件的能力范围。 Saintstealer 可以从 Chrome 和 Edge 中获取表单自动填充数据,并窃取 cookie 和密码。它还可以拦截 Discord 多因素身份验证令牌,并从已安装的 Telegram 实例和许多流行的 VPN 应用程序中窃取信息。该恶意软件还可以收集纯文本和 MS Word 文档。

数据收集完成后,Saintstealer 会将所有内容压缩到一个存档文件中,在上面输入密码,然后将其发送给恶意软件操作员。除此之外,在收集和泄露过程中记录的元数据被传递到恶意软件的命令和控制服务器。

Saintstealer 用作其服务器基础设施的 IP 地址与 EchelonStealer 和 QuasarRAT 等旧信息窃取者威胁使用的 IP 地址相同。

Saintstealer 作为订阅服务出售,每月 100 美元。黑客论坛上还提供一次性购买终身“许可证”,该恶意工具的总价为 900 美元。

信息窃取者似乎是一种威胁相对较低的恶意软件,但实际上,根据被盗信息的性质,它们可能对组织和商业实体以及家庭用户造成重大损害。

May 11, 2022