Upozornenie – vonku je nový malvér, ktorý kradne heslá používateľov

Predtým nezdokumentovaný downloader malvéru bol spozorovaný vo voľnej prírode pri phishingových útokoch s cieľom nasadiť zlodejov poverení a iných škodlivých dát.

dabovaný “Svätý Bot“, malvér sa údajne prvýkrát objavil na scéne v januári 2021, čo naznačuje, že je v aktívnom vývoji.

“Saint Bot je sťahovač, ktorý sa objavil pomerne nedávno a pomaly naberá na obrátkach. Bolo vidieť, ako zhadzoval zlodejov (napr. Taurus Stealer) alebo ďalšie nakladače (príklad), no jeho dizajn umožňuje [it] využiť ho na distribúciu akéhokoľvek druhu malvéru,“ povedala Aleksandra „Hasherezade“ Doniec, analytička hrozieb v Malwarebytes.

“Navyše, Saint Bot využíva širokú škálu techník, ktoré, hoci nie sú nové, naznačujú určitú úroveň sofistikovanosti vzhľadom na jeho relatívne nový vzhľad.”

Infekčný reťazec analyzovaný firmou zaoberajúcou sa kybernetickou bezpečnosťou začína phishingovým e-mailom obsahujúcim vložený súbor ZIP (“bitcoin.zip”), ktorý tvrdí, že ide o bitcoinovú peňaženku, hoci v skutočnosti ide o skript PowerShell pod maskou súboru skratky .LNK. Tento skript PowerShell potom stiahne malvér v ďalšej fáze, spustiteľný súbor WindowsUpdate.exe, ktorý zase zahodí druhý spustiteľný súbor (InstallUtil.exe), ktorý sa postará o stiahnutie ďalších dvoch spustiteľných súborov s názvom def.exe a putty.exe.

Zatiaľ čo prvý je dávkový skript zodpovedný za deaktiváciu Windows Defender, putty.exe obsahuje škodlivý obsah, ktorý sa nakoniec pripojí k serveru príkazov a ovládania (C2) na ďalšie využitie.

Zmätenosť prítomná v každej fáze infekcie spolu s antianalytickými technikami, ktoré malvér prijal, umožňuje operátorom malvéru využívať zariadenia, na ktorých boli nainštalované, bez toho, aby upútali pozornosť.

Okrem vykonávania „kontrol sebaobrany“ na overenie prítomnosti debuggera alebo virtuálneho prostredia je Saint Bot navrhnutý tak, aby sa nevykonával v Rumunsku a vybraných krajinách v rámci Spoločenstva nezávislých štátov (SNŠ), ktoré zahŕňa Arménsko, Bielorusko, Kazachstan, Moldavsko. , Rusko a Ukrajina.

Zoznam príkazov podporovaných malvérom zahŕňa —

  • sťahovanie a spustenie iných dát získaných zo servera C2
  • aktualizácia malvéru robota a
  • odinštaluje sa z napadnutého počítača

Aj keď sa tieto možnosti môžu zdať veľmi malé, skutočnosť, že Saint Bot slúži ako sťahovač iného škodlivého softvéru, ho robí dostatočne nebezpečným.

Zaujímavé je, že samotné užitočné zaťaženia sa získavajú zo súborov hostených na Discorde, čo je taktika, ktorá sa stáva čoraz bežnejšou medzi aktérmi hrozieb, ktorí zneužívajú legitímne funkcie takýchto platforiem na komunikáciu C2, vyhýbajú sa bezpečnosti a dodávajú malvér.

„Keď sa súbory nahrajú a uložia do CDN Discord, môžu k nim pristupovať pomocou pevne zakódovanej adresy CDN v akomkoľvek systéme, bez ohľadu na to, či bol Discord nainštalovaný, jednoducho prejdením na CDN URL, kde je obsah hosťovaný,“ výskumníci zo spoločnosti Cisco. Talos odhalil v analýze začiatkom tohto týždňa, čím zmenil softvér ako Discord a Slack na lukratívne ciele na hosťovanie škodlivého obsahu.

“Saint Bot je ďalší malý sťahovač,” povedala Hasherezade. “[It is] nie je tak vyspelý ako SmokeLoader, ale je celkom nový av súčasnosti sa aktívne rozvíja. Zdá sa, že autor má určité znalosti o dizajne škodlivého softvéru, čo je viditeľné na širokej škále použitých techník. Napriek tomu sú všetky nasadené techniky dobre známe a celkom štandardné, [and] zatiaľ neprejavuje veľa kreativity.“