Saintstealer

Description de Saintstealer

Saintstealer est un logiciel malveillant basé sur C# .NET, conçu pour capturer et exfiltrer diverses données confidentielles des systèmes compromis. La menace est capable de siphonner les informations d'identification du compte, les informations système, le numéro de carte de crédit/débit et d'autres informations sensibles. Des détails sur Sainstealer ont été révélés au public dans un rapport de chercheurs en sécurité.

Attribué au gang cybercriminel Saint, le voleur d'informations est déposé sur les appareils piratés sous la forme d'un fichier exécutable 32 bits nommé "saintgang.exe". Avant d'activer sa fonctionnalité principale, Sainstealer effectue plusieurs vérifications pour détecter des signes d'environnements de virtualisation et de bac à sable. Si les vérifications anti-analyse détectent quelque chose de louche, la menace mettra fin à son exécution.

Cependant, une fois établi sur l'appareil, Saintstealer commencera à capturer un large éventail de données en prenant des captures d'écran arbitraires, en collectant des mots de passe, en accédant aux cookies et en lisant les données de remplissage automatique enregistrées dans les navigateurs basés sur Chromium (Google Chrome, Edge, Opera, Brave, Vivaldi , Yandex et plus). La menace peut également acquérir des jetons d'authentification multifacteur Discord, collecter divers types de fichiers (.doc, .docx, .txt, etc.) et extraire des informations de certaines applications, telles que VimeWorld et Telegram. Sainstealer peut également acquérir certaines informations à partir de plusieurs applications VPN, notamment NordVPN, OpenVPN et ProtonVPN.

Toutes les données obtenues seront compressées et stockées dans un fichier ZIP protégé par mot de passe. Les informations collectées seront ensuite exfiltrées vers un compte Telegram sous le contrôle des cybercriminels. Dans le même temps, les métadonnées liées aux informations exfiltrées seront transmises à un serveur distant de commande et de contrôle (C2, C&C). Il convient de noter que l'adresse IP liée au domaine C2 des opérations a déjà été liée à plusieurs autres familles de voleurs, dont certaines incluent Predator Stealer , Nixscare Stealer, QuasarRAT et BloodyStealer.