警惕！有一个新的恶意软件正在抢夺用户的密码

在网络钓鱼攻击中发现了一个以前未记录的恶意软件下载程序，用于部署凭证窃取者和其他恶意有效载荷。

被称为“圣博特“恶意软件据说在2021年1月首次出现在现场，显示出它正在积极发展。

Malwarebytes的威胁情报分析师Aleksandra“Hasherezade”Doniec说：“Saint Bot是最近才出现的一种下载程序，它的势头正在慢慢增强。有人看到它在下载盗贼（即Taurus Stealer）或其他加载程序（例如），但它的设计允许[它]利用它来分发任何类型的恶意软件。”。

“此外，Saint-Bot采用了各种各样的技术，尽管并不新颖，但考虑到其相对较新的外观，这表明其具有一定程度的先进性。”

这家网络安全公司分析的感染链始于一封包含嵌入式ZIP文件（“bitcoin.ZIP”）的钓鱼电子邮件，该文件自称是比特币钱包，而事实上，它是一个伪装成的PowerShell脚本。LNK快捷方式文件。然后，此PowerShell脚本将下载下一阶段的恶意软件Windows Update。exe可执行文件，这又会删除第二个可执行文件（InstallUtil.exe），该文件负责下载另外两个名为def的可执行文件。还有油灰。exe。

前者是一个批量脚本，负责禁用Windows Defender，putty。exe包含最终连接到命令和控制（C2）服务器进行进一步攻击的恶意负载。

感染的每个阶段都存在混淆，再加上恶意软件采用的反分析技术，使得恶意软件操作人员可以在不引起注意的情况下利用他们安装的设备。

除了执行“自卫检查”以验证调试器或虚拟环境的存在外，Saint-Bot的设计目的是不在罗马尼亚和独立国家联合体（独联体）内的某些国家执行，这些国家包括亚美尼亚、白俄罗斯、哈萨克斯坦、摩尔多瓦、俄罗斯和乌克兰。

The list of commands supported by the malware include —

• 下载并执行从C2服务器检索到的其他有效载荷
• 更新机器人恶意软件，以及
• 正在从受损的计算机上卸载自身

虽然这些功能看起来很小，但Saint-Bot作为其他恶意软件的下载程序，这一事实已经足够危险了。

有趣的是，有效载荷本身是从托管在Discord上的文件中获取的，这一策略在威胁参与者中越来越常见，他们滥用此类平台的合法功能进行C2通信，逃避安全，并发送恶意软件。

Cisco Talos的研究人员在本周早些时候的一项分析中透露：“当文件上传并存储在Discord CDN中时，任何系统都可以使用硬编码的CDN URL访问它们，无论是否安装了Discord，只需浏览内容所在的CDN URL即可。”，从而使Discord和Slack等软件成为承载恶意内容的有利可图的目标。

“Saint Bot是另一个小型下载器，”哈舍雷扎德说。“[它]没有SmokeLoader那么成熟，但它是非常新的，目前正在积极开发。作者似乎对恶意软件设计有一些了解，这一点可以从所使用的各种技术中看出。然而，所有部署的技术都是众所周知的，相当标准，[而且]到目前为止还没有表现出多少创造力。”