Malware de Saint Bot

Los expertos en ciberseguridad han detectado un nuevo gotero de malware lanzado recientemente que parece estar ganando terreno entre los círculos de piratas informáticos. Llamado malware Saint Bot, la amenaza puede no exhibir capacidades nunca antes vistas, pero la amplia gama de técnicas utilizadas en su creación muestra que el desarrollador definitivamente posee conocimientos sobre el diseño de malware.

El ataque de malware Saint Bot es un proceso complicado que pasa por varios pasos intermedios. El vector de compromiso inicial es un correo electrónico de phishing que lleva un archivo adjunto armado. El archivo, 'bitcoin.zip', pretende ser una billetera de Bitcoin, mientras que en realidad es un script de PowerShell. Durante la siguiente etapa, el script de PowerShell coloca un nuevo malware en un ejecutable de WindowsUpdate.exe, que luego entrega un segundo ejecutable llamado InstallUtil.exe. Finalmente, los dos últimos ejecutables se llevan al sistema infectado: 'def.exe' es un script por lotes diseñado para deshabilitar Windows Defender, mientras que 'putty.exe' contiene la carga útil principal de Saint Bot. La amenaza de malware luego estableció una conexión con sus servidores de Comando y Control (C2, C&C) y espera instrucciones para una mayor explotación de la víctima.

Potentes técnicas de evasión y anti-detección

El malware Saint Bot tiene tres funcionalidades maliciosas:

1. Obtenga y ejecute cargas útiles de malware adicionales desde el servidor C2. Hasta ahora, estas cargas útiles han sido principalmente para ladrones de información como el Taurus Stealer o los droppers de etapa media. Saint Bot, sin embargo, es capaz de eliminar cualquier tipo de carga útil de malware.

2. Actualizándose

3. Retirarse por completo de la máquina comprometida para cubrir sus huellas.

Si bien definitivamente no es la amenaza más versátil que existe, Saint Bot es innegablemente efectivo. Su ofuscación que está presente a lo largo de la cadena de ataque se apoya con varias técnicas de anti-análisis. Como resultado, Saint Bot es extremadamente resbaladizo y puede permitir que el actor de amenazas explote el dispositivo comprometido sin ser advertido.

Además, Saint Bot realiza comprobaciones de depuradores o si se está ejecutando en un entorno virtual. La amenaza de malware también está programada para detener su ejecución si la víctima infectada pertenece a una lista de países de la región de la CEI (Comunidad de Estados Independientes): Rumania, Armenia, Kazajstán, Moldavia, Rusia, Ucrania y Bielorrusia.