มัลแวร์ Saintstealer ที่ทำงานบน C# .NET แบบ 32 บิต
พบ !! มัลแวร์ Saintstealer ที่ทำงานบน C# .NET แบบ 32 บิต ชื่อ “saintgang.exe” และ Prynt Stealer
ซึ่งมีความสามารถในการขโมยข้อมูลได้หลากหลาย เช่น คุกกี้ การถ่ายภาพหน้าจอ ชื่อผู้ใช้งานรวมถึงรหัสผ่านที่บันทึกไว้โดยอัตโนมัติที่จัดเก็บไว้ในเบราว์เซอร์เวอร์ชัน Chromium เช่น Google Chrome, Opera, Edge, Brave, Vivaldi และ Yandex เป็นต้น
มัลแวร์นี้มีความสามารถในการขโมย Authentication Tokens ของ Discord, ไฟล์ที่มีนามสกุล .txt, .doc และ .docx รวมถึง VimeWorld, Telegram และ VPN เช่น NordVPN, OpenVPN และ ProtonVPN หลังจากนั้นจะทำการรวบรวมข้อมูลเป็นไฟล์ ZIP และ ส่งไปยัง Telegram Channel และ Metadata จากนั้นจะส่งกลับไปยัง
เครื่องสั่งการและควบคุม (Remote Command-And-Control) หรือ C2 Server ของผู้ไม่ประสงค์ดี
ยิ่งไปกว่านั้น ยังมี IP ที่เชื่อมโยงกับ C2 Domain 141.8.197[.]42 เชื่อมโยงกับกลุ่มผู้ไม่ประสงค์ดีหลายกลุ่ม
เช่น Nixscare Stealer, BloodyStealer, QuasarRAT, Predator Stealer และ EchelonStealer
คำแนะนำ
1. ควรหลีกเลี่ยงการบันทึกรหัสผ่านและชื่อผู้ใช้งานในเบราว์เซอร์
2. ควร Scan เครื่องคอมพิวเตอร์อย่างสม่ำเสมอ อย่างน้อย 1 ครั้งต่อสัปดาห์
3. ควรลบคุกกี้บนเว็บเบราว์เซอร์
4. ควรเปลี่ยนรหัสผ่านทุก ๆ 3 เดือน
5. ควรตระหนักถึงภัยคุกคามทางไซเบอร์
6. ควรตรวจสอบไฟล์ที่ดาวน์โหลดมาก่อนติดตั้งหรือทำการคลิก สามารถตรวจสอบไฟล์ได้ที่
(https://www.virustotal.com/gui/home/upload)
Ref : https://thehackernews.com/2022/05/experts-detail-saintstealer-and-prynt.html
Ref IOCs: https://blog.cyble.com/2022/04/21/prynt-stealer-a-new-info-stealer-performing-clipper-and-keylogger-activities/