Saint Bot: újabb veszélyes kártevő a színen

 

„Saint Bot” névre keresztelték az először 2021 januárjában észlelt kártevőt, amelyet kiberbűnözők főképp más rosszindulatú programok telepítésére használnak. A Malwarebytes elemzői szerint a káros kódot elsősorban adathalász e-mailek útján terjesztik, egy utóbbi kampány során például egy bitcoin pénztárca telepítő programjának álcázott tömörített csatolmányként (bitcoin.zip). A fájl kicsomagolás és futtatás esetén valójában egy PowerShell szkriptet indít el, ami további futtatható káros fájlokat (WindowsUpdate.exe, InstallUtil.exe, def.exe, putty.exe) tölt le a fertőzött eszközre.  Érdemes megemlíteni, hogy a végső káros kódok (payload) a Discord tartalomszolgáltató hálózatából (CDN) kerülnek letöltésre, ami egyre gyakoribb eljárás a támadók körében. A káros program érdekessége, hogy úgy került kialakításra, hogy Romániában, illetve a Független Államok Közösségébe (FÁK) tartozó országokban ne végezzen káros tevékenységet. Az elemzők szerint a Saint Bot a már jól ismert technikák széles spektrumát alkalmazza, veszélye pedig elsősorban abban rejlik, hogy más káros programok telepítésére is alkalmazható.

(thehackernews.com)