Các chuyên gia Chi tiết Saintstealer và Prynt Stealer Gia đình phần mềm độc hại ăn cắp thông tin

Các nhà nghiên cứu đã mổ xẻ hoạt động bên trong của một ăn cắp thông tin có tên là Saintstealer được thiết kế để lấy thông tin đăng nhập và thông tin hệ thống.

“Sau khi thực hiện, kẻ trộm trích xuất tên người dùng, mật khẩu, chi tiết thẻ tín dụng, v.v.”, các nhà nghiên cứu Cyble cho biết trong một phân tích tuần trước. “Kẻ trộm cũng đánh cắp dữ liệu từ nhiều vị trí khác nhau trên toàn hệ thống và nén nó trong một tệp ZIP được bảo vệ bằng mật khẩu.”

Một tệp thực thi dựa trên C # .NET 32-bit với tên “Holygang.exe”, Saintstealer được trang bị tính năng kiểm tra chống phân tích, chọn tự kết thúc nếu nó đang chạy trong môi trường ảo hoặc hộp cát.

Phần mềm độc hại có thể thu thập nhiều loại thông tin, từ chụp ảnh màn hình đến thu thập mật khẩu, cookie và dữ liệu tự động điền được lưu trữ trong các trình duyệt dựa trên Chromium như Google Chrome, Opera, Edge, Brave, Vivaldi và Yandex, trong số những người khác.

Nó cũng có thể đánh cắp mã thông báo Discord, tệp có phần mở rộng .txt, .doc và .docx cũng như trích xuất thông tin từ các ứng dụng VimeWorld, Telegram và VPN như NordVPN, OpenVPN và ProtonVPN.

Bên cạnh việc truyền thông tin đã nén tới kênh Telegram, siêu dữ liệu liên quan đến dữ liệu đã tách lọc được gửi đến máy chủ điều khiển và chỉ huy từ xa (C2).

Xem tiếp:   Microsoft tiết lộ chi tiết mới về chiến dịch tấn công của Nga nhằm vào Ukraine

Hơn nữa, địa chỉ IP được liên kết với miền C2 – 141.8.197[.]42 – được liên kết với nhiều họ trộm cắp như Nixscare ăn cắp, BloodyStealer, QuasarRAT, Predator ăn cắp và EchelonStealer.

Các nhà nghiên cứu cho biết: “Những kẻ đánh cắp thông tin có thể gây hại cho các cá nhân cũng như các tổ chức lớn. “Nếu ngay cả những kẻ ăn cắp tinh vi như Saintstealer có được quyền truy cập vào cơ sở hạ tầng, nó có thể gây ra những tác động tàn phá đối với cấu trúc mạng của tổ chức được nhắm mục tiêu.”

Tiết lộ được đưa ra khi một kẻ lừa đảo mới có tên Prynt Stealer đã xuất hiện trong tự nhiên, cũng có thể thực hiện các hoạt động ghi khóa và đánh cắp tài chính bằng cách sử dụng mô-đun clipper.

“Nó có thể nhắm mục tiêu hơn 30 trình duyệt dựa trên Chromium, hơn 5 trình duyệt dựa trên Firefox và một loạt các ứng dụng VPN, FTP, nhắn tin và trò chơi”, Cyble lưu ý vào tháng trước.

Được bán với giá 100 đô la cho giấy phép một tháng và 900 đô la cho đăng ký trọn đời, phần mềm độc hại này tham gia vào một danh sách dài những kẻ ăn cắp được quảng cáo gần đây, bao gồm Jester, BlackGuard, Mars Stealer, META, FFDroider và Lightning Stealer.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …