Cybersecurity-onderzoekers hebben de innerlijke werking ontleed van een informatie-stelende malware genaamd Sintstealer die is ontworpen om referenties en systeeminformatie over te hevelen.
“Na uitvoering extraheert de dief de gebruikersnaam, wachtwoorden, creditcardgegevens, enz.”, Cyble-onderzoekers zei in een analyse van vorige week. “De dief steelt ook gegevens van verschillende locaties in het systeem en comprimeert deze in een met een wachtwoord beveiligd ZIP-bestand.”
Een 32-bits C# .NET-gebaseerd uitvoerbaar bestand met de naam “saintgang.exe”, Saintstealer is uitgerust met anti-analysecontroles, die ervoor kiezen zichzelf te beëindigen als het in een sandbox- of virtuele omgeving wordt uitgevoerd.
De malware kan een breed scala aan informatie vastleggen, variërend van het maken van schermafbeeldingen tot het verzamelen van wachtwoorden, cookies en automatisch aanvullen van gegevens die zijn opgeslagen in Chromium-gebaseerde browsers zoals Google Chrome, Opera, Edge, Brave, Vivaldi en Yandex, onder andere.
Het kan ook Discord multi-factor authenticatietokens, bestanden met de extensies .txt, .doc en .docx stelen en informatie extraheren uit VimeWorld, Telegram en VPN-apps zoals NordVPN, OpenVPN en ProtonVPN.
Naast het verzenden van de gecomprimeerde informatie naar een Telegram-kanaal, worden de metadata met betrekking tot de geëxfiltreerde gegevens verzonden naar een externe command-and-control (C2) -server.
Bovendien is het IP-adres gekoppeld aan het C2-domein – 141.8.197[.]42 – is gekoppeld aan meerdere stealer-families zoals Nixscare-stealer, BloodyStealer, QuasarRAT, Predator-stealer en EchelonStealer.
“Het stelen van informatie kan schadelijk zijn voor zowel individuen als grote organisaties”, aldus de onderzoekers. “Als zelfs onervaren stelen zoals Saintstealer infrastructurele toegang krijgen, kan dit verwoestende gevolgen hebben voor de cyberinfrastructuur van de beoogde organisatie.”
De onthulling komt als een nieuwe infostealer genaamd Prynt Stealer is opgedoken in het wild die ook keylogging-operaties en financiële diefstal kan uitvoeren met behulp van een clipper-module.
“Het kan zich richten op 30+ Chromium-gebaseerde browsers, 5+ Firefox-gebaseerde browsers en een reeks VPN-, FTP-, messaging- en gaming-apps”, merkte Cyble vorige maand op.
Verkocht voor $ 100 voor een licentie van één maand en $ 900 voor een levenslang abonnement, voegt de malware zich bij een lange lijst van andere recent geadverteerde stealers, waaronder Jester, BlackGuard, Mars Stealer, METAFFDroider en Lightning Stealer.
