Saint Bot Malware

Cybersecurity-Experten haben einen neuen, kürzlich eingeführten Malware-Dropper entdeckt, der in Hacker-Kreisen anscheinend an Bedeutung gewinnt. Die als Saint Bot-Malware bezeichnete Bedrohung weist möglicherweise keine noch nie dagewesenen Funktionen auf, aber die breite Palette der bei ihrer Erstellung verwendeten Techniken zeigt, dass der Entwickler definitiv über Kenntnisse über das Design von Malware verfügt.

Der Saint Bot-Malware-Angriff ist ein komplizierter Prozess, der mehrere Zwischenschritte durchläuft. Der anfängliche Kompromissvektor ist eine Phishing-E-Mail mit einem Waffenanhang. Die Datei "bitcoin.zip" gibt vor, eine Bitcoin-Brieftasche zu sein, während es sich tatsächlich um ein PowerShell-Skript handelt. In der nächsten Phase liefert das PowerShell-Skript eine neue Malware in einer ausführbaren Datei von WindowsUpdate.exe, die dann eine zweite ausführbare Datei mit dem Namen InstallUtil.exe bereitstellt. Schließlich werden die letzten beiden ausführbaren Dateien auf das infizierte System übertragen. 'Def.exe' ist ein Batch-Skript zum Deaktivieren von Windows Defender, während 'putty.exe' die Hauptnutzlast von Saint Bot enthält. Die Malware-Bedrohung stellt dann eine Verbindung zu ihren Command-and-Control-Servern (C2, C & C) her und wartet auf Anweisungen zur weiteren Ausnutzung des Opfers.

Leistungsstarke Ausweich- und Anti-Erkennungstechniken

Saint Bot-Malware verfügt über drei schädliche Funktionen:

1. Abrufen zusätzlicher Malware-Nutzdaten vom C2-Server und sie ausführen. Bisher waren diese Nutzlasten hauptsächlich für Info-Stealer wie den Taurus Stealer oder Mid-Stage-Dropper bestimmt. Saint Bot ist jedoch in der Lage, jede Art von Malware-Nutzlast zu löschen.

2. Sich aktualisieren

3. Sich vollständig von der gefährdeten Maschine entfernen, um ihre Spuren zu verwischen

Saint Bot ist zwar definitiv nicht die vielseitigste Bedrohung, aber unbestreitbar effektiv. Seine Verschleierung, die in der gesamten Angriffskette vorhanden ist, wird durch verschiedene Anti-Analyse-Techniken unterstützt. Infolgedessen ist Saint Bot extrem rutschig und kann es dem Bedrohungsakteur ermöglichen, das gefährdete Gerät unbemerkt auszunutzen.

Darüber hinaus führt Saint Bot Überprüfungen für Debugger durch oder ob diese in einer virtuellen Umgebung ausgeführt werden. Die Malware-Bedrohung ist auch so programmiert, dass ihre Ausführung gestoppt wird, wenn das infizierte Opfer aus einer Liste von Ländern in der GUS-Region (Gemeinschaft Unabhängiger Staaten) stammt - Rumänien, Armenien, Kasachstan, Moldawien, Russland, Ukraine und Weißrussland.