Los investigadores de seguridad cibern\u00e9tica han diseccionado el funcionamiento interno de un malware que roba informaci\u00f3n llamado Ladr\u00f3n de santos<\/b> que est\u00e1 dise\u00f1ado para desviar las credenciales y la informaci\u00f3n del sistema.<\/p>\n
“Despu\u00e9s de la ejecuci\u00f3n, el ladr\u00f3n extrae el nombre de usuario, las contrase\u00f1as, los detalles de la tarjeta de cr\u00e9dito, etc.”, investigadores de Cyble dicho<\/a> en un an\u00e1lisis la semana pasada. “El ladr\u00f3n tambi\u00e9n roba datos de varios lugares del sistema y los comprime en un archivo ZIP protegido con contrase\u00f1a”.<\/p>\n Saintstealer, un ejecutable basado en C# .NET de 32 bits con el nombre “saintgang.exe”, est\u00e1 equipado con comprobaciones antian\u00e1lisis y opta por cerrarse si se ejecuta en un entorno de espacio aislado o virtual.<\/p>\n El malware puede capturar una amplia gama de informaci\u00f3n que va desde tomar capturas de pantalla hasta recopilar contrase\u00f1as, cookies y datos de autocompletado almacenados en navegadores basados \u200b\u200ben Chromium como Google Chrome, Opera, Edge, Brave, Vivaldi y Yandex, entre otros.<\/p>\n Tambi\u00e9n puede robar tokens de autenticaci\u00f3n multifactor de Discord, archivos con extensiones .txt, .doc y .docx, as\u00ed como extraer informaci\u00f3n de VimeWorld, Telegram y aplicaciones VPN como NordVPN, OpenVPN y ProtonVPN.<\/p>\n Adem\u00e1s de transmitir la informaci\u00f3n comprimida a un canal de Telegram, los metadatos relacionados con los datos extra\u00eddos se env\u00edan a un servidor remoto de comando y control (C2).<\/p>\n Adem\u00e1s, la direcci\u00f3n IP vinculada al dominio C2 \u2014 141.8.197[.]42: est\u00e1 vinculado a varias familias de ladrones, como Nixscare Stealer, BloodyStealer, QuasarRAT, Predator Stealer y EchelonStealer.<\/p>\n “Los ladrones de informaci\u00f3n pueden ser da\u00f1inos tanto para los individuos como para las grandes organizaciones”, dijeron los investigadores. “Si incluso los ladrones poco sofisticados como Saintstealer obtienen acceso a la infraestructura, podr\u00eda tener efectos devastadores en la infraestructura cibern\u00e9tica de la organizaci\u00f3n objetivo”.<\/p>\n La revelaci\u00f3n se produce como un nuevo ladr\u00f3n de informaci\u00f3n llamado Ladr\u00f3n de impresiones<\/a> ha surgido en la naturaleza que tambi\u00e9n puede realizar operaciones de registro de teclas y robo financiero utilizando un m\u00f3dulo clipper.<\/p>\n “Puede apuntar a m\u00e1s de 30 navegadores basados \u200b\u200ben Chromium, m\u00e1s de 5 navegadores basados \u200b\u200ben Firefox y una variedad de aplicaciones de VPN, FTP, mensajer\u00eda y juegos”, se\u00f1al\u00f3 Cyble el mes pasado.<\/p>\n Vendido por $ 100 por una licencia de un mes y $ 900 por una suscripci\u00f3n de por vida, el malware se une a una larga lista de otros ladrones anunciados recientemente, incluidos Jester, BlackGuard, Mars Stealer, META<\/a>FFDroider y Lightning Stealer.<\/p>\n <\/p>\n<\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/1652209424_248_Los-expertos-detallan-las-familias-de-malware-Saintstealer-y-Prynt.jpg\")
<\/div>\n