البرمجيات الخبيثة SapphireStealer

تستخدم مجموعات متعددة برامج ضارة مفتوحة المصدر لجمع المعلومات تسمى SapphireStealer، مبنية على إطار عمل .NET، لتعزيز قدراتها وإنشاء إصدارات مخصصة. يكشف خبراء الأمن السيبراني أن البرامج الضارة لجمع المعلومات مثل SapphireStealer تُستخدم للحصول على البيانات المهمة، بما في ذلك بيانات اعتماد تسجيل الدخول الخاصة بالشركة. وكثيرا ما يتم بيع أوراق الاعتماد التي تم الحصول عليها بطريقة غير مشروعة إلى جهات فاعلة أخرى سيئة العقول تستغلها لشن المزيد من الهجمات، بدءا من التجسس إلى عمليات الفدية والابتزاز.

لا يشير هذا النوع من البرامج الضارة إلى تقدم نموذج الجرائم الإلكترونية كخدمة (CaaS) فحسب، بل يوفر أيضًا فرصًا للجهات الفاعلة الأخرى ذات الصلة بالاحتيال للاستفادة من البيانات المسروقة من خلال تسهيل توزيع برامج الفدية وتنفيذ سرقة البيانات والمشاركة فيها. في مختلف الأنشطة السيبرانية الشائنة الأخرى.

يلتقط SapphireStealer معلومات حساسة مختلفة من الأجهزة المخترقة

SapphireStealer، عبارة عن برنامج ضار لجمع المعلومات قائم على .NET، يمتلك مجموعة ميزات واضحة وفعالة مصممة لاستخراج البيانات الحساسة من الأنظمة المخترقة. وتشمل قدراتها:

• • جمع معلومات المضيف.

• • التقاط لقطات الشاشة.

• • حصاد بيانات اعتماد المتصفح المخزنة مؤقتًا.

• • تحديد واستهداف ملفات محددة على النظام المصاب بناءً على امتدادات الملفات المحددة مسبقًا.

عند التنفيذ الأولي، تقوم البرامج الضارة بإجراء فحص لتحديد وجود أي عمليات متصفح نشطة على النظام. يقوم بمسح قائمة العمليات الجارية حاليًا بحثًا عن التطابقات بأسماء العمليات التالية: chrome، وyandex، وmsedge، وOpera. إذا تم العثور على أي عمليات مطابقة، فإن البرامج الضارة تستخدم طريقة Process.Kill() لإنهائها.

علاوة على ذلك، تستخدم البرامج الضارة قائمة مسارات الملفات المشفرة لاكتشاف وجود قواعد بيانات الاعتماد المرتبطة بحوالي 15 متصفح ويب مختلفًا، بما في ذلك Chrome وOpera وYandex وBrave Browser وMicrosoft Edge وAtom Browsers والمزيد.

بعد ذلك، يحاول SapphireStealer التقاط لقطة شاشة من النظام المخترق، وحفظها في نفس دليل العمل تحت اسم الملف "Screenshot.png". ولتوسيع جهود جمع البيانات، تقوم البرامج الضارة بتشغيل مكون التقاط الملفات، بهدف تحديد موقع الملفات داخل مجلد سطح المكتب الخاص بالضحية والتي تتطابق مع قائمة محددة مسبقًا من امتدادات الملفات.

وأخيرًا، يتم إرسال البيانات المسروقة إلى المهاجم عبر بروتوكول نقل البريد البسيط (SMTP)، مع تحديد بيانات الاعتماد المطلوبة ضمن الكود المسؤول عن إنشاء الرسالة وإرسالها.

يتم تطوير متغيرات SapphireStealer بشكل نشط بواسطة مجرمي الإنترنت

يشبه SapphireStealer العديد من سلالات البرامج الضارة الأخرى لجمع البيانات والتي أصبحت منتشرة بشكل متزايد على شبكة الويب المظلمة. ومع ذلك، فإن ما يميزها هو حقيقة أن كود المصدر الخاص بها قد تم إصداره مجانًا بشكل علني في أواخر ديسمبر 2022. وقد أدى ذلك إلى تمكين الجهات الفاعلة المرتبطة بالاحتيال من تجربة البرامج الضارة، مما يجعل اكتشافها أكثر صعوبة إلى حد كبير. ونتيجة لذلك، فقد قدموا طرقًا قابلة للتكيف لاستخلاص البيانات، مثل الاستفادة من خطاف الويب Discord أو Telegram API.

لقد ظهرت بالفعل العديد من الأشكال المختلفة لهذا التهديد في البرية، حيث تعمل الجهات الفاعلة في مجال التهديد باستمرار على تحسين كفاءتها وفعاليتها بمرور الوقت.

بالإضافة إلى ذلك، قام مؤلف البرامج الضارة بنشر برنامج تنزيل البرامج الضارة .NET، الذي يحمل الاسم الرمزي FUD-Loader، والذي يسمح باسترداد الحمولات الثنائية الإضافية من الخوادم التي يتحكم فيها المهاجمون. تمت ملاحظة برنامج التنزيل هذا أثناء العمل بالفعل، حيث يقدم تهديدات طروادة للوصول عن بعد (RAT) مثل DCRat و njRAT و DarkComet و Agent Tesla .