Saintstealer, Prynt Stealer 악성코드 패밀리 관련 세부 정보 공개돼

Experts Detail Saintstealer and Prynt Stealer Info-Stealing Malware Families

 

사이버 보안 연구원들이 크리덴셜 및 시스템 정보를 빼내도록 설계된 인포 스틸러 악성코드인 Saintstealer에 대한 분석을 공개했습니다.

 

 

<이미지 출처: https://blog.cyble.com/2022/04/27/dissecting-saintstealer/>

 

 

Cyble의 연구원들은 지난주 분석을 통해 아래와 같이 밝혔습니다.

 

"해당 스틸러는 실행된 후 사용자 이름, 비밀번호, 신용 카드 정보 등을 추출합니다.”

 

"또한 시스템의 다양한 위치에서 데이터를 훔쳐 비밀번호로 보호된 ZIP 파일로 압축합니다."

 

"saintgang.exe"라는 이름의 32비트 C# .NET 기반 실행 파일 형태인 Saintstealer는 샌드박스 또는 가상 환경에서 실행 중일 경우 자체적으로 종료되는 분석 방지 검사 기능을 갖추고 있습니다.

 

이 악성코드는 스크린샷 촬영 및 비밀번호, 쿠키를 수집하고 Chrome, Opera, Edge, Brave, Vivaldi, Yandex와 같은 크로미움 기반 브라우저에 저장된 자동 완성 데이터 등 광범위한 정보를 캡처할 수 있습니다.

 

또한 Discord의 다중 인증 토큰, .txt, .doc, .docx 파일을 훔치고 VimeWorld, Telegram 및 NordVPN, OpenVPN, ProtonVPN과 같은 VPN 앱에서 정보를 추출합니다.

 

압축된 정보는 텔레그램 채널로 전송되며, 추출된 데이터 및 관련된 메타데이터는 C2 서버로 전송됩니다.

 

 

<이미지 출처: https://blog.cyble.com/2022/04/27/dissecting-saintstealer/>

 

 

또한 C2 도메인에 연결된 IP 주소(141.8.197[.]42)는 Nixscare, BloodyStealer, QuasarRAT, Predator, EchelonStealer 등 여러 스틸러 패밀리와 관련이 있었습니다.

 

연구원들은 이에 대해 아래와 같이 설명했습니다.

 

"인포 스틸러는 개인은 물론 대규모 조직에도 피해를 입힐 수 있습니다."

 

"Saintstealer와 같이 정교하지 않은 스틸러일 경우에도, 인프라 액세스 권한을 얻을 경우 타깃 조직의 사이버 인프라에 치명적인 영향을 미칠 수 있습니다."

 

이는 클리퍼 모듈을 통해 키로깅 및 금융 탈취를 수행 가능한 새로운 인포 스틸러인 Prynt Stealer가 실제 공격에 등장하면서 발견되었습니다.

 

연구원들은 지난 달 이에 대해 "Chromium 기반 브라우저 20개 이상, Firefox 기반 브라우저 5개 이상, 다양한 VPN, FTP, 메시징, 게임 앱을 공격할 수 있다”고 밝혔습니다.

 

이 악성코드는 1개월에 100달러, 평생 구독 900달러에 판매되고 있으며 Jester, BlackGuard, Mars Stealer, META, FFDroider, Lightning Stealer를 포함하여 최근에 광고된 스틸러 목록에 추가되었습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Trojan.MSIL.Stealer.gen’로 탐지 중입니다.

 

 

 

 

출처:

https://thehackernews.com/2022/05/experts-detail-saintstealer-and-prynt.html

https://blog.cyble.com/2022/04/27/dissecting-saintstealer/