Peneliti keamanan siber telah membedah cara kerja bagian dalam dari malware pencuri informasi yang disebut Pencuri Suci yang dirancang untuk menyedot kredensial dan informasi sistem.
“Setelah eksekusi, pencuri mengekstrak nama pengguna, kata sandi, detail kartu kredit, dll.,” kata peneliti Cyble dalam analisis pekan lalu. “Pencuri juga mencuri data dari berbagai lokasi di seluruh sistem dan mengompresnya dalam file ZIP yang dilindungi kata sandi.”
Sebuah 32-bit C# .NET berbasis executable dengan nama “saintgang.exe,” Saintstealer dilengkapi dengan pemeriksaan anti-analisis, memilih untuk menghentikan dirinya sendiri jika berjalan baik di lingkungan kotak pasir atau virtual.
Malware ini dapat menangkap berbagai informasi mulai dari mengambil tangkapan layar hingga mengumpulkan kata sandi, cookie, dan data pengisian otomatis yang disimpan di browser berbasis Chromium seperti Google Chrome, Opera, Edge, Brave, Vivaldi, dan Yandex.
Itu juga dapat mencuri token otentikasi multi-faktor Discord, file dengan ekstensi .txt, .doc, dan .docx serta mengekstrak informasi dari aplikasi VimeWorld, Telegram, dan VPN seperti NordVPN, OpenVPN, dan ProtonVPN.
Selain mentransmisikan informasi terkompresi ke saluran Telegram, metadata yang terkait dengan data yang dieksfiltrasi dikirim ke server command-and-control (C2) jarak jauh.
Terlebih lagi, alamat IP yang ditautkan ke domain C2 — 141.8.197[.]42 — terkait dengan beberapa keluarga pencuri seperti pencuri Nixscare, BloodyStealer, QuasarRAT, Predator stealer, dan EchelonStealer.
“Pencuri informasi bisa berbahaya bagi individu maupun organisasi besar,” kata para peneliti. “Jika bahkan pencuri yang tidak canggih seperti Saintstealer mendapatkan akses infrastruktur, itu bisa berdampak buruk pada infrastruktur siber dari organisasi yang ditargetkan.”
Pengungkapan ini muncul sebagai infostealer baru bernama Prynt Stealer telah muncul di alam liar yang juga dapat melakukan operasi keylogging dan pencurian keuangan menggunakan modul clipper.
“Ini dapat menargetkan 30+ browser berbasis Chromium, 5+ browser berbasis Firefox, dan berbagai aplikasi VPN, FTP, perpesanan, dan game,” kata Cyble bulan lalu.
Dijual seharga $100 untuk lisensi satu bulan dan $900 untuk langganan seumur hidup, malware ini bergabung dengan daftar panjang pencuri lain yang baru-baru ini diiklankan, termasuk Jester, BlackGuard, Mars Stealer, META, FFDroider, dan Lightning Stealer.