Se ha reportado un nuevo descargador de malware cuyo objetivo es hurtar credenciales del usuario y descargar software malicioso. Según se informa, el apodado “Saint Bot”, apareció por primera vez durante el mes de enero 2021, con indicaciones de desarrollo activo.
El método para infectar al objetivo, es mediante un correo electrónico que contiene un archivo comprimido “ZIP” (bitcoin.zip), el cual se identifica como una billetera de bitcoin (“bitcoin wallet”), pero en realidad es un script de PowerShell que descarga el malware el cual resulta ser un ejecutable WindowsUpdate.exe, el cual a su vez suelta otro ejecutable InstallUtil.exe que se encarga de descargar dos ejecutables adicionales, def.exe y putty.exe.
Estos scripts se encargan de inhabilitar Windows Defender, y luego continuar la propagación y ejecución del malware. Aunque el Saint Bot no sea mas que otro descargador (downloader), el mismo esta aun en desarrollo activo, por lo que no se sabe que otras técnicas pueda utilizar su desarrollador para mejorar su ejecución y evitar su detección en un futuro.