Saintstealer 惡意軟件

安全研究人員最近詳細介紹了一種新的惡意負載。有問題的惡意軟件是一個具有豐富功能的信息竊取程序,代號為 Saintstealer。

Saintstealer 可以抓取和洩露系統信息和各種憑據數據。 Saintstealer 以文件名“saintgang.exe”分發,被編譯為使用 .NET 框架的 32 位可執行文件。正如所料,該惡意軟件具有內置的反虛擬化措施,因此它可以避開蜜罐和研究人員測試平台。

信息竊取者超出了大多數類似惡意軟件的能力範圍。 Saintstealer 可以從 Chrome 和 Edge 中獲取表單自動填充數據,並竊取 cookie 和密碼。它還可以攔截 Discord 多因素身份驗證令牌,並從已安裝的 Telegram 實例和許多流行的 VPN 應用程序中竊取信息。該惡意軟件還可以收集純文本和 MS Word 文檔。

數據收集完成後,Saintstealer 會將所有內容壓縮到一個存檔文件中,在上面輸入密碼,然後將其發送給惡意軟件操作員。除此之外,在收集和洩露過程中記錄的元數據被傳遞到惡意軟件的命令和控制服務器。

Saintstealer 用作其服務器基礎設施的 IP 地址與 EchelonStealer 和 QuasarRAT 等舊信息竊取者威脅使用的 IP 地址相同。

Saintstealer 作為訂閱服務出售,每月 100 美元。黑客論壇上還提供一次性購買終身“許可證”,該惡意工具的總價為 900 美元。

信息竊取者似乎是一種威脅相對較低的惡意軟件,但實際上,根據被盜信息的性質,它們可能對組織和商業實體以及家庭用戶造成重大損害。

May 11, 2022