SapphireStealer Malware

Flere grupper anvender en open source-informationsindsamlende malware kaldet SapphireStealer, bygget på .NET frameworket, for at styrke deres muligheder og skabe tilpassede versioner. Cybersikkerhedseksperter afslører, at informationsindsamlende malware såsom SapphireStealer bruges til at erhverve kritiske data, herunder virksomhedens login-legitimationsoplysninger. Disse dårligt opnåede legitimationsoplysninger sælges ofte til andre dårligt sindede aktører, der udnytter dem til at iværksætte yderligere angreb, lige fra spionage til ransomware og afpresningsoperationer.

Denne type malware betyder ikke kun fremskridtene af cyberkriminalitet-as-a-service (CaaS)-modellen, men giver også muligheder for andre svindel-relaterede aktører til at drage fordel af de stjålne data ved at lette distribution af ransomware, udføre datatyveri og engagere i forskellige andre uhyggelige cyberaktiviteter.

SapphireStealer fanger forskellige følsomme oplysninger fra kompromitterede enheder

SapphireStealer, en .NET-baseret informationsindsamlende malware, har et simpelt, men effektivt sæt funktioner designet til at udtrække følsomme data fra kompromitterede systemer. Dens muligheder omfatter:

• • Indsamling af værtsinformation.

• • Tager skærmbilleder.

• • Indsamling af cachede browserlegitimationsoplysninger.

• • Identifikation og målretning af specifikke filer på det inficerede system baseret på foruddefinerede filtypenavne.

Ved dens første udførelse udfører malwaren en kontrol for at bestemme tilstedeværelsen af aktive browserprocesser på systemet. Den scanner listen over aktuelt kørende processer for kampe med følgende procesnavne: chrome, yandex, msedge og Opera. Hvis der findes matchende processer, anvender malwaren Process.Kill()-metoden til at afslutte dem.

Derudover bruger malwaren en hårdkodet liste over filstier til at detektere eksistensen af legitimationsdatabaser forbundet med cirka 15 forskellige webbrowsere, inklusive Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom-browsere og mere.

Efterfølgende bestræber SapphireStealer sig på at tage et skærmbillede fra det kompromitterede system og gemmer det i samme arbejdsmappe under filnavnet 'Screenshot.png'. For at udvide sin dataindsamlingsindsats udløser malwaren en fil-grabber-komponent, der sigter mod at finde filer i offerets Desktop-mappe, der matcher en foruddefineret liste over filtypenavne.

Til sidst overføres de stjålne data til angriberen via Simple Mail Transfer Protocol (SMTP), med de nødvendige legitimationsoplysninger angivet i koden, der er ansvarlig for at komponere og sende beskeden.

SapphireStealer-varianter bliver aktivt udviklet af cyberkriminelle

SapphireStealer ligner adskillige andre dataindsamlende malware-stammer, der er blevet mere og mere udbredt på Dark Web. Det, der dog adskiller det, er det faktum, at dens kildekode åbenlyst blev frigivet gratis i slutningen af december 2022. Dette har bemyndiget svindelrelaterede aktører til at eksperimentere med malwaren, hvilket gør det betydeligt mere udfordrende at opdage. Som et resultat har de introduceret tilpasningsdygtige dataeksfiltreringsmetoder, såsom at udnytte en Discord webhook eller Telegram API.

Adskillige variationer af denne trussel er allerede dukket op i naturen, hvor trusselsaktører løbende forfiner deres effektivitet og effektivitet over tid.

Derudover har malware-forfatteren offentliggjort en .NET malware-downloader, kodenavnet FUD-Loader, som gør det muligt at hente yderligere binære nyttelaster fra servere, der kontrolleres af angribere. Denne downloader er allerede blevet observeret i aktion og leverer Remote Access Trojan (RAT) trusler som DCRat, njRAT , DarkComet og Agent Tesla .