Зловреден софтуер SapphireStealer

Множество групи използват зловреден софтуер с отворен код за събиране на информация, наречен SapphireStealer, изграден върху .NET framework, за да укрепят своите възможности и да създадат персонализирани версии. Експерти по киберсигурност разкриват, че злонамерен софтуер за събиране на информация като SapphireStealer се използва за придобиване на критични данни, включително корпоративни идентификационни данни за вход. Тези неправомерно получени идентификационни данни често се продават на други злонамерени участници, които ги експлоатират, за да започнат нови атаки, вариращи от шпионаж до рансъмуер и операции за изнудване.

Този тип злонамерен софтуер не само означава напредъка на модела киберпрестъпност като услуга (CaaS), но също така предоставя възможности за други участници, свързани с измами, да печелят от откраднатите данни, като улесняват разпространението на ransomware, извършват кражби на данни и ангажират в различни други престъпни кибер дейности.

SapphireStealer улавя различна чувствителна информация от компрометирани устройства

SapphireStealer, базиран на .NET злонамерен софтуер за събиране на информация, притежава ясен, но ефективен набор от функции, предназначен за извличане на чувствителни данни от компрометирани системи. Възможностите му включват:

• • Събиране на информация за хоста.

• • Заснемане на екранни снимки.

• • Събиране на кеширани идентификационни данни на браузъра.

• • Идентифициране и насочване към конкретни файлове в заразената система въз основа на предварително дефинирани файлови разширения.

При първоначалното си изпълнение зловредният софтуер извършва проверка, за да определи наличието на активни процеси на браузъра в системата. Той сканира списъка с текущо изпълнявани процеси за съвпадения със следните имена на процеси: chrome, yandex, msedge и Opera. Ако бъдат намерени съвпадащи процеси, зловредният софтуер използва метода Process.Kill(), за да ги прекрати.

Освен това злонамереният софтуер използва твърдо кодиран списък от файлови пътища, за да открие съществуването на бази данни с идентификационни данни, свързани с приблизително 15 различни уеб браузъра, включително Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom браузъри и други.

Впоследствие SapphireStealer се опитва да заснеме екранна снимка от компрометираната система, като я записва в същата работна директория под името на файла „Screenshot.png“. За да разшири усилията си за събиране на данни, злонамереният софтуер задейства компонент за грабване на файлове, целящ да намери файлове в папката на работния плот на жертвата, които съответстват на предварително определен списък с файлови разширения.

Накрая, откраднатите данни се предават на нападателя чрез Simple Mail Transfer Protocol (SMTP), като необходимите идентификационни данни са посочени в кода, отговорен за съставянето и изпращането на съобщението.

Вариантите на SapphireStealer се разработват активно от киберпрестъпниците

SapphireStealer наподобява множество други щамове злонамерен софтуер за събиране на данни, които стават все по-разпространени в Dark Web. Това, което го отличава обаче, е фактът, че изходният му код беше открито пуснат безплатно в края на декември 2022 г. Това даде възможност на участниците, свързани с измами, да експериментират със зловреден софтуер, което го прави значително по-трудно за откриване. В резултат на това те въведоха адаптивни методи за ексфилтриране на данни, като например използване на Discord webhook или Telegram API.

Многобройни вариации на тази заплаха вече се появиха в природата, като участниците в заплахата непрекъснато усъвършенстват своята ефективност и ефективност с течение на времето.

Освен това, авторът на зловреден софтуер е направил публично достояние програма за изтегляне на зловреден софтуер .NET, с кодово име FUD-Loader, която позволява извличането на допълнителни двоични полезни данни от сървъри, контролирани от нападатели. Този инструмент за изтегляне вече е наблюдаван в действие, като доставя заплахи за троянски кон за отдалечен достъп (RAT) като DCRat, njRAT , DarkComet и Agent Tesla .