Εκπτώσεις πολλαπλών αδειών
Threat Database Malware Κακόβουλο λογισμικό SapphireStealer

Κακόβουλο λογισμικό SapphireStealer

Μέχρι το Mezo το Malware, Stealers
Μετάφραση σε:
Ελληνικά

Πολλές ομάδες χρησιμοποιούν ένα κακόβουλο λογισμικό συλλογής πληροφοριών ανοιχτού κώδικα που ονομάζεται SapphireStealer, που βασίζεται στο πλαίσιο .NET, για να ενισχύσουν τις δυνατότητές τους και να δημιουργήσουν προσαρμοσμένες εκδόσεις. Οι ειδικοί στον τομέα της κυβερνοασφάλειας αποκαλύπτουν ότι το κακόβουλο λογισμικό συλλογής πληροφοριών, όπως το SapphireStealer, χρησιμοποιείται για την απόκτηση κρίσιμων δεδομένων, συμπεριλαμβανομένων των εταιρικών διαπιστευτηρίων σύνδεσης. Αυτά τα παράνομα διαπιστευτήρια πωλούνται συχνά σε άλλους κακοπροαίρετους ηθοποιούς που τα εκμεταλλεύονται για να εξαπολύσουν περαιτέρω επιθέσεις, που κυμαίνονται από κατασκοπεία έως επιχειρήσεις λύτρων και εκβιασμών.

Αυτός ο τύπος κακόβουλου λογισμικού όχι μόνο σηματοδοτεί την πρόοδο του μοντέλου cybercrime-as-a-service (CaaS), αλλά παρέχει επίσης ευκαιρίες σε άλλους φορείς που σχετίζονται με απάτη να επωφεληθούν από τα κλοπιμαία δεδομένα διευκολύνοντας τη διανομή ransomware, την κλοπή δεδομένων και την εμπλοκή σε διάφορες άλλες πρόστυχες δραστηριότητες στον κυβερνοχώρο.

Το SapphireStealer καταγράφει διάφορες ευαίσθητες πληροφορίες από παραβιασμένες συσκευές

Το SapphireStealer, ένα κακόβουλο λογισμικό συλλογής πληροφοριών που βασίζεται σε .NET, διαθέτει ένα απλό αλλά αποτελεσματικό σύνολο χαρακτηριστικών που έχει σχεδιαστεί για την εξαγωγή ευαίσθητων δεδομένων από παραβιασμένα συστήματα. Οι δυνατότητές του περιλαμβάνουν:

    • Συλλογή πληροφοριών οικοδεσπότη.
    • Λήψη στιγμιότυπων οθόνης.
    • Συγκομιδή αποθηκευμένων διαπιστευτηρίων προγράμματος περιήγησης.
    • Εντοπισμός και στόχευση συγκεκριμένων αρχείων στο μολυσμένο σύστημα με βάση προκαθορισμένες επεκτάσεις αρχείων.

Κατά την αρχική εκτέλεσή του, το κακόβουλο λογισμικό διενεργεί έλεγχο για να προσδιορίσει την παρουσία ενεργών διεργασιών προγράμματος περιήγησης στο σύστημα. Σαρώνει τη λίστα με τις τρέχουσες διεργασίες για αντιστοιχίσεις με τα ακόλουθα ονόματα διεργασιών: chrome, yandex, msedge και Opera. Εάν εντοπιστούν διεργασίες που ταιριάζουν, το κακόβουλο λογισμικό χρησιμοποιεί τη μέθοδο Process.Kill() για να τις τερματίσει.

Επιπλέον, το κακόβουλο λογισμικό χρησιμοποιεί μια κωδικοποιημένη λίστα διαδρομών αρχείων για να ανιχνεύσει την ύπαρξη βάσεων δεδομένων διαπιστευτηρίων που σχετίζονται με περίπου 15 διαφορετικά προγράμματα περιήγησης Ιστού, συμπεριλαμβανομένων των Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browser και άλλων.

Στη συνέχεια, το SapphireStealer προσπαθεί να τραβήξει ένα στιγμιότυπο οθόνης από το παραβιασμένο σύστημα, αποθηκεύοντάς το στον ίδιο κατάλογο εργασίας με το όνομα αρχείου "Screenshot.png". Για να επεκτείνει τις προσπάθειές του για τη συλλογή δεδομένων, το κακόβουλο λογισμικό ενεργοποιεί ένα στοιχείο αρπαγής αρχείων, με στόχο να εντοπίσει αρχεία στον φάκελο Desktop του θύματος που ταιριάζουν με μια προκαθορισμένη λίστα επεκτάσεων αρχείων.

Τέλος, τα κλοπιμαία δεδομένα μεταδίδονται στον εισβολέα μέσω του Simple Mail Transfer Protocol (SMTP), με τα απαιτούμενα διαπιστευτήρια να καθορίζονται στον κώδικα που είναι υπεύθυνος για τη σύνθεση και την αποστολή του μηνύματος.

Οι παραλλαγές του SapphireStealer αναπτύσσονται ενεργά από κυβερνοεγκληματίες

Το SapphireStealer μοιάζει με πολλά άλλα στελέχη κακόβουλου λογισμικού συλλογής δεδομένων που έχουν γίνει ολοένα και πιο διαδεδομένα στο Dark Web. Ωστόσο, αυτό που το κάνει να ξεχωρίζει είναι το γεγονός ότι ο πηγαίος κώδικας του κυκλοφόρησε ανοιχτά δωρεάν στα τέλη Δεκεμβρίου 2022. Αυτό έδωσε τη δυνατότητα στους φορείς που σχετίζονται με απάτη να πειραματιστούν με το κακόβουλο λογισμικό, καθιστώντας τον πολύ πιο δύσκολο τον εντοπισμό του. Ως αποτέλεσμα, έχουν εισαγάγει προσαρμόσιμες μεθόδους εξαγωγής δεδομένων, όπως η μόχλευση ενός webhook του Discord ή του API του Telegram.

Πολλές παραλλαγές αυτής της απειλής έχουν ήδη εμφανιστεί στη φύση, με τους φορείς απειλών να βελτιώνουν συνεχώς την αποτελεσματικότητα και την αποτελεσματικότητά τους με την πάροδο του χρόνου.

Επιπλέον, ο δημιουργός κακόβουλου λογισμικού δημοσίευσε ένα πρόγραμμα λήψης κακόβουλου λογισμικού .NET, με την κωδική ονομασία FUD-Loader, το οποίο επιτρέπει την ανάκτηση πρόσθετων δυαδικών ωφέλιμων φορτίων από διακομιστές που ελέγχονται από εισβολείς. Αυτό το πρόγραμμα λήψης έχει ήδη παρατηρηθεί σε δράση, παρέχοντας απειλές Remote Access Trojan (RAT) όπως DCRat, njRAT , DarkComet και Agent Tesla .

 

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
15,882
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...