Logiciel malveillant Saint Bot

Les experts en cybersécurité ont découvert un nouveau compte-gouttes de logiciels malveillants récemment lancé qui semble gagner du terrain parmi les cercles de hackers. Nommé malware Saint Bot, la menace ne présente peut-être pas de capacités inédites, mais le large éventail de techniques utilisées lors de sa création montre que le développeur possède définitivement des connaissances sur la conception de logiciels malveillants.

L'attaque du malware Saint Bot est un processus compliqué qui passe par plusieurs étapes intermédiaires. Le vecteur de compromis initial est un e-mail de phishing contenant une pièce jointe armée. Le fichier - «bitcoin.zip», prétend être un portefeuille Bitcoin alors qu'en fait, il s'agit d'un script PowerShell. Au cours de l'étape suivante, le script PowerShell supprime un nouveau programme malveillant dans un exécutable WindowsUpdate.exe, qui délivre ensuite un deuxième exécutable nommé InstallUtil.exe. Enfin, les deux derniers exécutables sont amenés sur le système infecté - «def.exe» est un script batch conçu pour désactiver Windows Defender tandis que «putty.exe» contient la charge utile principale de Saint Bot. La menace malveillante a ensuite établi une connexion avec ses serveurs de commande et de contrôle (C2, C&C) et attend des instructions pour une exploitation ultérieure de la victime.

Techniques d'évasion et anti-détection puissantes

Le malware Saint Bot possède trois fonctionnalités malveillantes:

1. Récupérez et exécutez des charges utiles de logiciels malveillants supplémentaires à partir du serveur C2. Jusqu'à présent, ces charges utiles ont été principalement destinées à des voleurs d'informations tels que le Taurus Stealer ou des compte-gouttes à mi-parcours. Cependant, Saint Bot est capable de supprimer tout type de charge utile de malware.

2. Se mettre à jour

3. Se retirant complètement de la machine compromise pour couvrir ses traces

Bien que ce ne soit certainement pas la menace la plus polyvalente, Saint Bot est indéniablement efficace. Son obscurcissement présent tout au long de la chaîne d'attaque est soutenu par plusieurs techniques anti-analyse. En conséquence, Saint Bot est extrêmement glissant et peut permettre à l'acteur de la menace d'exploiter l'appareil compromis sans se faire remarquer.

De plus, Saint Bot effectue des vérifications pour les débogueurs ou s'il est exécuté dans un environnement virtuel. La menace du logiciel malveillant est également programmée pour arrêter son exécution si la victime infectée provient d'une liste de pays de la région de la CEI (Communauté des États indépendants) - Roumanie, Arménie, Kazakhstan, Moldavie, Russie, Ukraine et Biélorussie.