Los expertos detallan las familias de malware Saintstealer y Prynt Stealer que roban información

Los investigadores de seguridad cibernética han diseccionado el funcionamiento interno de un malware que roba información llamado Saintstealer que está diseñado para desviar credenciales e información del sistema.

"Después de la ejecución, el ladrón extrae el nombre de usuario, las contraseñas, los detalles de la tarjeta de crédito, etc.", dijeron los investigadores de Cyble en un análisis la semana pasada. "El ladrón también roba datos de varios lugares del sistema y los comprime en un archivo ZIP protegido con contraseña".

Saintstealer, un ejecutable basado en C# .NET de 32 bits con el nombre "saintgang.exe", está equipado con comprobaciones antianálisis y opta por cerrarse si se ejecuta en un entorno de espacio aislado o virtual.

El malware puede capturar una amplia gama de información que va desde tomar capturas de pantalla hasta recopilar contraseñas, cookies y datos de autocompletado almacenados en navegadores basados ​​en Chromium como Google Chrome, Opera, Edge, Brave, Vivaldi y Yandex, entre otros.

También puede robar tokens de autenticación multifactor de Discord, archivos con extensiones .txt, .doc y .docx, así como extraer información de VimeWorld, Telegram y aplicaciones VPN como NordVPN, OpenVPN y ProtonVPN.

Además de transmitir la información comprimida a un canal de Telegram, los metadatos relacionados con los datos extraídos se envían a un servidor remoto de comando y control (C2).

malware-code

Además, la dirección IP vinculada al dominio C2, 141.8.197[.]42, está vinculada a varias familias de ladrones, como Nixscare Stealer, BloodyStealer, QuasarRAT, Predator Stealer y EchelonStealer.

"Los ladrones de información pueden ser dañinos tanto para los individuos como para las grandes organizaciones", dijeron los investigadores. "Si incluso los ladrones poco sofisticados como Saintstealer obtienen acceso a la infraestructura, podría tener efectos devastadores en la infraestructura cibernética de la organización objetivo".

La revelación se produce cuando un nuevo ladrón de información llamado Prynt Stealer ha aparecido en la naturaleza que también puede realizar operaciones de registro de teclas y robo financiero utilizando un módulo clipper.

"Puede apuntar a más de 30 navegadores basados ​​en Chromium, más de 5 navegadores basados ​​en Firefox y una variedad de aplicaciones de VPN, FTP, mensajería y juegos", señaló Cyble el mes pasado.

Vendido por $ 100 por una licencia de un mes y $ 900 por una suscripción de por vida, el malware se une a una larga lista de otros ladrones anunciados recientemente, incluidos Jester , BlackGuard , Mars Stealer , META , FFDroider y Lightning Stealer .

 

Fuente: Thehackernews.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies