Saint Bot, como lo han llamado, se usa como parte de la cadena de infección en campañas dirigidas contra instituciones gubernamentales en el país de Georgia. En cada caso, los atacantes utilizaron Saint Bot para eliminar a los ladrones de información y otros descargadores de malware. Según el proveedor de seguridad, es probable que algunos actores de amenazas diferentes estén utilizando el nuevo cargador, por lo que es probable que haya otras víctimas.
Uno de los ladrones de información que se ha observado que elimina Saint Bot es Taurus , una herramienta de malware que está diseñada para robar contraseñas, historial del navegador, cookies y datos en formularios de autocompletar. El ladrón de Taurus también está equipado para robar credenciales de cliente de correo electrónico y FTP de uso común e información del sistema, como detalles de configuración y software instalado. Según Malwarebytes, si bien se ha observado que Saint Bot deja caer ladrones, el cuentagotas está diseñado para entregar cualquier malware en un sistema comprometido.
Los droppers de malware son herramientas especializadas diseñadas especialmente para instalar diferentes malware en los sistemas de las víctimas. Por lo general, se distribuyen a través de correos electrónicos no deseados y de suplantación de identidad, ocultos en sitios web maliciosos, en aplicaciones infectadas y, a menudo, como parte de una cadena de infección más amplia. La mayoría tiene funciones para evadir la detección, deshabilitar las herramientas de seguridad en un sistema infectado, conectarse con servidores de comando y control y ejecutar comandos maliciosos.
Los investigadores de Malwarebytes detectaron a Saint Bot mientras investigaban un correo electrónico de phishing que contenía un archivo zip con malware que no habían visto antes. El archivo zip contenía un script de PowerShell ofuscado que se hacía pasar por un enlace a una billetera de Bitcoin. El script inició una cadena de infecciones que finalmente resultó en la caída de Saint Bot en el sistema comprometido.
Aunque Saint Bot no es una amenaza prolífica todavía, hay indicios de que los autores detrás de la herramienta de malware todavía la están desarrollando activamente. El proveedor de seguridad dice que su investigación del Saint Bot muestra que no hace mucho existía una versión anterior de la herramienta. Además, se esta viendo nuevas campañas que parecen ser de diferentes clientes, lo que indicaría que el autor del malware está involucrado en personalizar aún más el producto.