Los investigadores de seguridad cibernética han diseccionado el funcionamiento interno de un malware que roba información llamado Ladrón de santos que está diseñado para desviar las credenciales y la información del sistema.
“Después de la ejecución, el ladrón extrae el nombre de usuario, las contraseñas, los detalles de la tarjeta de crédito, etc.”, investigadores de Cyble dicho en un análisis la semana pasada. “El ladrón también roba datos de varios lugares del sistema y los comprime en un archivo ZIP protegido con contraseña”.
Saintstealer, un ejecutable basado en C# .NET de 32 bits con el nombre “saintgang.exe”, está equipado con comprobaciones antianálisis y opta por cerrarse si se ejecuta en un entorno de espacio aislado o virtual.
El malware puede capturar una amplia gama de información que va desde tomar capturas de pantalla hasta recopilar contraseñas, cookies y datos de autocompletado almacenados en navegadores basados en Chromium como Google Chrome, Opera, Edge, Brave, Vivaldi y Yandex, entre otros.
También puede robar tokens de autenticación multifactor de Discord, archivos con extensiones .txt, .doc y .docx, así como extraer información de VimeWorld, Telegram y aplicaciones VPN como NordVPN, OpenVPN y ProtonVPN.
Además de transmitir la información comprimida a un canal de Telegram, los metadatos relacionados con los datos extraídos se envían a un servidor remoto de comando y control (C2).
Además, la dirección IP vinculada al dominio C2 — 141.8.197[.]42: está vinculado a varias familias de ladrones, como Nixscare Stealer, BloodyStealer, QuasarRAT, Predator Stealer y EchelonStealer.
“Los ladrones de información pueden ser dañinos tanto para los individuos como para las grandes organizaciones”, dijeron los investigadores. “Si incluso los ladrones poco sofisticados como Saintstealer obtienen acceso a la infraestructura, podría tener efectos devastadores en la infraestructura cibernética de la organización objetivo”.
La revelación se produce como un nuevo ladrón de información llamado Ladrón de impresiones ha surgido en la naturaleza que también puede realizar operaciones de registro de teclas y robo financiero utilizando un módulo clipper.
“Puede apuntar a más de 30 navegadores basados en Chromium, más de 5 navegadores basados en Firefox y una variedad de aplicaciones de VPN, FTP, mensajería y juegos”, señaló Cyble el mes pasado.
Vendido por $ 100 por una licencia de un mes y $ 900 por una suscripción de por vida, el malware se une a una larga lista de otros ladrones anunciados recientemente, incluidos Jester, BlackGuard, Mars Stealer, METAFFDroider y Lightning Stealer.
About the Author
