Malware SapphireStealer

Několik skupin používá open source malware shromažďující informace nazvaný SapphireStealer, postavený na .NET frameworku, aby posílil své schopnosti a vytvořil přizpůsobené verze. Odborníci na kybernetickou bezpečnost odhalují, že malware shromažďující informace, jako je SapphireStealer, se používá k získávání důležitých dat, včetně firemních přihlašovacích údajů. Tyto neoprávněně získané přihlašovací údaje jsou často prodávány jiným špatně smýšlejícím aktérům, kteří je zneužívají k dalším útokům, od špionáže po ransomware a vyděračské operace.

Tento typ malwaru nejenže znamená pokrok v modelu kybernetické kriminality jako služby (CaaS), ale také poskytuje příležitost pro další aktéry související s podvody, aby profitovali z ukradených dat tím, že usnadňuje distribuci ransomwaru, provádí krádeže dat a zapojuje v různých dalších hanebných kybernetických aktivitách.

SapphireStealer zachycuje různé citlivé informace z kompromitovaných zařízení

SapphireStealer, malware pro shromažďování informací založený na .NET, má přímou, ale účinnou sadu funkcí navrženou pro extrakci citlivých dat z kompromitovaných systémů. Mezi jeho schopnosti patří:

• • Shromažďování informací o hostiteli.

• • Pořizování snímků obrazovky.

• • Sbírání přihlašovacích údajů prohlížeče v mezipaměti.

• • Identifikace a zacílení konkrétních souborů v infikovaném systému na základě předdefinovaných přípon souborů.

Malware při svém počátečním spuštění provede kontrolu, aby zjistil přítomnost všech aktivních procesů prohlížeče v systému. Prohledá seznam aktuálně spuštěných procesů a hledá shody s následujícími názvy procesů: chrome, yandex, msedge a Opera. Pokud jsou nalezeny odpovídající procesy, malware je ukončí pomocí metody Process.Kill().

Malware navíc využívá pevně zakódovaný seznam cest k souborům ke zjištění existence databází pověření spojených s přibližně 15 různými webovými prohlížeči, včetně Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browser a dalších.

Následně se SapphireStealer snaží zachytit snímek obrazovky z napadeného systému a uložit jej do stejného pracovního adresáře pod názvem 'Screenshot.png.' Aby se rozšířilo úsilí o shromažďování dat, malware spouští komponentu pro zachycení souborů, jejímž cílem je najít soubory ve složce Plocha oběti, které odpovídají předem definovanému seznamu přípon souborů.

Nakonec jsou ukradená data předána útočníkovi prostřednictvím protokolu SMTP (Simple Mail Transfer Protocol), přičemž požadovaná pověření jsou specifikována v kódu odpovědném za sestavení a odeslání zprávy.

Kyberzločinci aktivně vyvíjejí varianty SapphireStealer

SapphireStealer se podobá mnoha dalším kmenům malwaru shromažďujícího data, které se na Dark Webu stále častěji objevují. Co jej však odlišuje, je skutečnost, že jeho zdrojový kód byl otevřen zdarma ke konci prosince 2022. To umožnilo aktérům souvisejícím s podvody experimentovat s malwarem, což značně ztížilo jeho odhalení. V důsledku toho zavedli adaptabilní metody exfiltrace dat, jako je využití webhooku Discord nebo Telegram API.

Ve volné přírodě se již objevily četné varianty této hrozby, přičemž aktéři hrozeb průběžně zdokonalují svou účinnost a efektivitu v průběhu času.

Kromě toho autor malwaru zveřejnil stahovač malwaru .NET s kódovým označením FUD-Loader, který umožňuje načítání dalších binárních dat ze serverů ovládaných útočníky. Tento downloader již byl pozorován v akci a přináší hrozby Remote Access Trojan (RAT), jako jsou DCRat, njRAT , DarkComet a Agent Tesla .