Saint Bot Malware

サイバーセキュリティの専門家は、最近発売された新しいマルウェアドロッパーを捕まえました。これは、ハッカー界の間で注目を集めているようです。 Saint Botマルウェアと名付けられたこの脅威は、これまでにない機能を発揮しない可能性がありますが、その作成に使用された幅広い技術は、開発者がマルウェアの設計に関する知識を確実に持っていることを示しています。

セントボットマルウェア攻撃は、いくつかの中間ステップを経る複雑なプロセスです。最初の侵害ベクトルは、武器化された添付ファイルを運ぶフィッシングメールです。ファイル-'bitcoin.zip 'は、実際にはPowerShellスクリプトであるのに対し、ビットコインウォレットのふりをします。次の段階で、PowerShellスクリプトはWindowsUpdate.exe実行可能ファイルに新しいマルウェアをドロップし、InstallUtil.exeという名前の2番目の実行可能ファイルを配信します。最後に、最後の2つの実行可能ファイルが感染したシステムに送られます。「def.exe」はWindows Defenderを無効にするように設計されたバッチスクリプトであり、「putty.exe」にはメインのSaintBotペイロードが含まれています。次に、マルウェアの脅威は、コマンドアンドコントロール（C2、C＆C）サーバーとの接続を確立し、被害者をさらに悪用するための指示を待ちます。

強力な回避および検出防止技術

Saint Botマルウェアには、次の3つの悪意のある機能があります。

1.C2サーバーから追加のマルウェアペイロードをフェッチして実行します。これまでのところ、これらのペイロードは主に、トーラススティーラーやミッドステージドロッパーなどの情報スティーラー向けでした。ただし、Saint Botは、あらゆる種類のマルウェアペイロードをドロップできます。

2.自分自身を更新する

3.侵害されたマシンから自分自身を完全に削除して、そのトラックをカバーします

確かにそこにある最も用途の広い脅威ではありませんが、SaintBotは間違いなく効果的です。攻撃チェーン全体に存在するその難読化は、いくつかの分析防止手法でサポートされています。その結果、Saint Botは非常に滑りやすく、攻撃者が気付かれることなく侵入先のデバイスを悪用する可能性があります。

さらに、Saint Botは、デバッガーのチェック、または仮想環境で実行されているかどうかのチェックを実行します。マルウェアの脅威は、感染した被害者がCIS地域（独立国家共同体）内の国のリスト（ルーマニア、アルメニア、カザフスタン、モルドバ、ロシア、ウクライナ、ベラルーシ）からのものである場合、その実行を停止するようにもプログラムされています。