Se ha detectado un descargador de malware previamente indocumentado en ataques de phishing para implementar ladrones de credenciales y otras cargas útiles maliciosas.
Apodado "Saint Bot", se dice que el malware apareció por primera vez en la escena en enero de 2021, con indicios de que está en desarrollo activo.
"Saint Bot es un programa de descarga que apareció recientemente, y poco a poco está ganando impulso. Se vio caer a ladrones (es decir, Taurus Stealer) o cargadores adicionales (ejemplo), pero su diseño le permite utilizarlo para distribuir cualquier tipo de malware ", dijo Aleksandra" Hasherezade "Doniec, analista de inteligencia de amenazas en Malwarebytes.
"Además, Saint Bot emplea una amplia variedad de técnicas que, aunque no son novedosas, indican cierto nivel de sofisticación considerando su apariencia relativamente nueva".
La cadena de infección analizada por la firma de ciberseguridad comienza con un correo electrónico de phishing que contiene un archivo ZIP incrustado ("bitcoin.zip") que dice ser una billetera bitcoin cuando, de hecho, es un script de PowerShell bajo la apariencia de un archivo de acceso directo .LNK. Este script de PowerShell luego descarga el malware de la siguiente etapa, un ejecutable de WindowsUpdate.exe, que, a su vez, suelta un segundo ejecutable (InstallUtil.exe) que se encarga de descargar dos ejecutables más llamados def.exe y putty.exe.