Programari maliciós SapphireStealer

Diversos grups utilitzen un programari maliciós de codi obert per recopilar informació anomenat SapphireStealer, basat en el framework .NET, per reforçar les seves capacitats i crear versions personalitzades. Els experts en ciberseguretat revelen que el programari maliciós per recopilar informació com SapphireStealer s'utilitza per adquirir dades crítiques, incloses les credencials d'inici de sessió corporatives. Aquestes credencials malconseguides sovint es venen a altres actors malintencionats que les exploten per llançar més atacs, que van des d'espionatge fins a programari de ransom i operacions d'extorsió.

Aquest tipus de programari maliciós no només significa l'avenç del model de ciberdelinqüència com a servei (CaaS), sinó que també ofereix oportunitats perquè altres actors relacionats amb el frau puguin beneficiar-se de les dades robades facilitant la distribució de ransomware, realitzant robatoris de dades i implicant-los. en diverses altres activitats cibernètiques nefastes.

SapphireStealer captura diversa informació sensible de dispositius compromesos

SapphireStealer, un programari maliciós per recopilar informació basat en .NET, té un conjunt de funcions senzill però eficaç dissenyat per extreure dades sensibles de sistemes compromesos. Les seves capacitats inclouen:

• • Recollida d'informació de l'amfitrió.

• • Captura de captures de pantalla.

• • Recollida de credencials del navegador emmagatzemades a la memòria cau.

• • Identificar i orientar fitxers específics del sistema infectat basant-se en extensions de fitxers predefinides.

En la seva execució inicial, el programari maliciós realitza una comprovació per determinar la presència de processos actius del navegador al sistema. Explora la llista de processos en execució actual per trobar coincidències amb els noms de processos següents: chrome, yandex, msedge i Opera. Si es troba algun procés coincident, el programari maliciós utilitza el mètode Process.Kill() per finalitzar-los.

A més, el programari maliciós utilitza una llista codificada de rutes de fitxers per detectar l'existència de bases de dades de credencials associades a aproximadament 15 navegadors web diferents, inclosos Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browsers i més.

Posteriorment, SapphireStealer s'esforça per capturar una captura de pantalla del sistema compromès, desant-la al mateix directori de treball amb el nom de fitxer "Screenshot.png". Per ampliar els seus esforços de recollida de dades, el programari maliciós activa un component de captura de fitxers, amb l'objectiu de localitzar fitxers a la carpeta de l'escriptori de la víctima que coincideixin amb una llista predefinida d'extensions de fitxers.

Finalment, les dades robades es transmeten a l'atacant mitjançant el protocol simple de transferència de correu (SMTP), amb les credencials necessàries especificades dins del codi responsable de redactar i enviar el missatge.

Les variants de SapphireStealer estan sent desenvolupades activament pels cibercriminals

SapphireStealer s'assembla a moltes altres varietats de programari maliciós que recullen dades que s'han tornat cada cop més freqüents a la web fosca. Tanmateix, el que el diferencia és el fet que el seu codi font es va publicar obertament de manera gratuïta a finals de desembre de 2022. Això ha permès als actors relacionats amb el frau experimentar amb el programari maliciós, cosa que fa que sigui molt més difícil de detectar. Com a resultat, han introduït mètodes d'exfiltració de dades adaptables, com ara aprofitar un webhook de Discord o l'API de Telegram.

Nombroses variacions d'aquesta amenaça ja han aparegut a la natura, amb els actors de l'amenaça perfeccionant contínuament la seva eficiència i eficàcia al llarg del temps.

A més, l'autor del programari maliciós ha fet públic un descàrrega de programari maliciós .NET, amb el nom en clau FUD-Loader, que permet recuperar càrregues útils binàries addicionals dels servidors controlats pels atacants. Aquest descarregador ja s'ha observat en acció, oferint amenaces de troià d'accés remot (RAT) com DCRat, njRAT , DarkComet i Agent Tesla .