Saint Bot, un nuevo descargador de malware recientemente detectado

En las últimas semanas ha aparecido un reciente descargador de malware que poco a poco está propagándose mediante campañas de propagación, realizadas por diferentes actores de amenaza.

El grupo de investigadores que detectaron este descargador de malware decidieron nombrarlo como “Saint Bot Dropper”, destacando que las detecciones fueron observadas sobre todo en campañas de propagación contra instituciones gubernamentales de Georgia, aunque no descartan que esté siendo utilizada contra otros objetivos y por otros actores de amenaza.

Según los expertos, los tipo de malware que suelen ser descargados por “Saint Bot” son “information stealer” (ladrones de información), como “Taurus”, un malware tool diseñado para robar contraseñas, el historial de navegación, cookies, y los datos de autollenado guardados. También “Taurus”, posee funcionalidades para robar credenciales de los clientes de correo electrónico y FTP comunes (outlook, filezilla, etc), así como detalles de la configuración y software instalados en el sistema.

Los principales modos de propagación utilizados por los actores maliciosos, son por correo electrónicos de SPAM y Phishing, en sitios web maliciosos y aplicaciones pirateadas infectadas.

Ejemplo de roadmap de envío de Saint Bot - Malwarebytes


Entre las capacidades destacables de Saint Bot, se encuentra la evasión de su detección al intentar elevar privilegios, desactivar las herramientas de seguridad, conectar con servidores de comando y control (C2), y ejecutar comandos maliciosos en el sistema afectado.

Desde Arkavia Networks les recomendamos a todos los usuarios, con la finalidad de disminuir el riesgo de infección de este tipo de campañas, tener sumo cuidado de los sitios web donde navegan, realizar la descarga de archivos, como de software que solo debe realizarlos de sitios oficiales y de confianza, además de mantener sus sistemas actualizados y protegidos con un antivirus.



Indicadores de compromiso

Initial dropper (.lnk)
63d7b35ca907673634ea66e73d6a38486b0b043f3d511ec2d2209597c7898ae8

Next stage .NET dropper
b0b0cb50456a989114468733428ca9ef8096b18bce256634811ddf81f2119274

.NET downloader
a98e108588e31f40cdaeab1c04d0a394eb35a2e151f95fbf8a913cba6a7faa63

Saint Bot (packed)
2d88db4098a72cd9cb58a760e6a019f6e1587b7b03d4f074c979e776ce110403

Saint Bot core
a4b705baac8bb2c0d2bc111eae9735fb8586d6d1dab050f3c89fb12589470969

Downloader domain
68468438438[.]xyz

C2 servers
update-0019992[.]ru
380222001[.]xyz



Referencia:

COMENTARIOS

Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,15,asus,1,Ataques,7,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,6,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,Check Point,4,Chile,1,Chips,1,Chrome,3,Ciberataque,6,Cibercrimen,155,Cibercriminales,3,Ciberdelincuencia,16,ciberseguridad,176,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,2,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,enrutadores,1,Estadisticas,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,Hacking,84,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,19,Redes,30,redes sociales,12,Redhat,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,23,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,80,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Saint Bot, un nuevo descargador de malware recientemente detectado
Saint Bot, un nuevo descargador de malware recientemente detectado
https://1.bp.blogspot.com/-xdC0sKQ9RkY/YHXgUDX-DvI/AAAAAAAACa4/mGmB64BqWhYyuqZNcJPTEXRXJMyLoptNQCLcBGAsYHQ/w640-h320/Saint%2BBot%2BDropper.jpg
https://1.bp.blogspot.com/-xdC0sKQ9RkY/YHXgUDX-DvI/AAAAAAAACa4/mGmB64BqWhYyuqZNcJPTEXRXJMyLoptNQCLcBGAsYHQ/s72-w640-c-h320/Saint%2BBot%2BDropper.jpg
Arkavia Networks News
https://www.arkalabs.cl/2021/04/saint-bot-un-nuevo-descargador-de.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2021/04/saint-bot-un-nuevo-descargador-de.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy