SapphireStealer pahavara

Mitmed rühmad kasutavad oma võimaluste tugevdamiseks ja kohandatud versioonide loomiseks avatud lähtekoodiga teavet koguvat pahavara SapphireStealer, mis on üles ehitatud .NET-i raamistikule. Küberturvalisuse eksperdid näitavad, et teavet koguvat pahavara, nagu SapphireStealer, kasutatakse kriitiliste andmete, sealhulgas ettevõtte sisselogimisandmete hankimiseks. Neid ebaseaduslikult hangitud volitusi müüakse sageli teistele pahatahtlikele osalejatele, kes kasutavad neid ära edasiste rünnakute korraldamiseks, alates spionaažist kuni lunavara ja väljapressimisoperatsioonideni.

Seda tüüpi pahavara mitte ainult ei tähenda küberkuritegevusena teenusena (CaaS) mudeli edenemist, vaid pakub ka teistele pettusega seotud osalejatele võimalusi varastatud andmetest kasu saada, hõlbustades lunavara levitamist, andmete vargusi ja kaasamist. mitmesugustes muudes alatutes kübertegevustes.

SapphireStealer salvestab ohustatud seadmetest erinevat tundlikku teavet

SapphireStealer, .NET-i põhine teavet koguv pahavara, omab lihtsat, kuid tõhusat funktsioonide komplekti, mis on loodud tundlike andmete hankimiseks ohustatud süsteemidest. Selle võimalused hõlmavad järgmist:

• • Võõrustaja teabe kogumine.

• • Ekraanipiltide jäädvustamine.

• • Vahemällu salvestatud brauseri mandaatide kogumine.

• • Kindlate failide tuvastamine ja sihtimine nakatunud süsteemis eelmääratletud faililaiendite alusel.

Pahavara teostab esmasel käivitamisel kontrolli, et teha kindlaks, kas süsteemis on aktiivseid brauseriprotsesse. See otsib praegu töötavate protsesside loendist vasteid järgmiste protsessinimedega: chrome, yandex, msedge ja Opera. Kui leitakse sobivaid protsesse, kasutab pahavara nende lõpetamiseks meetodit Process.Kill().

Lisaks kasutab pahavara kõvasti kodeeritud failiteede loendit, et tuvastada ligikaudu 15 erineva veebibrauseriga, sealhulgas Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browserid ja palju muud, seotud mandaadiandmebaaside olemasolu.

Seejärel püüab SapphireStealer jäädvustada ohustatud süsteemist ekraanipilti, salvestades selle samasse töökataloogi failinime 'Screenshot.png' all. Andmete kogumise laiendamiseks käivitab pahavara failipüüdja komponendi, mille eesmärk on leida ohvri töölauakaustast failid, mis vastavad eelnevalt määratletud faililaiendite loendile.

Lõpuks edastatakse röövitud andmed ründajale lihtsa postiedastusprotokolli (SMTP) kaudu, kusjuures nõutavad mandaadid määratakse kirja koostamise ja saatmise eest vastutavas koodis.

Küberkurjategijad arendavad aktiivselt SapphireStealeri variante

SapphireStealer sarnaneb paljude muude andmete kogumise pahavara tüvedega, mis on tumedas veebis üha enam levinud. Selle eristab aga asjaolu, et selle lähtekood avaldati avalikult tasuta 2022. aasta detsembri lõpus. See on andnud pettusega seotud osalejatele võimaluse pahavaraga katsetada, muutes selle tuvastamise tunduvalt keerulisemaks. Selle tulemusena on nad kasutusele võtnud kohandatavad andmete väljafiltreerimise meetodid, nagu näiteks Discordi veebihaagi või Telegrami API võimendamine.

Selle ohu arvukad variatsioonid on juba looduses esile kerkinud, kusjuures ohus osalejad on aja jooksul pidevalt oma tõhusust ja tulemuslikkust täiustanud.

Lisaks on pahavara autor avalikustanud .NET-i pahavara allalaadija koodnimega FUD-Loader, mis võimaldab hankida ründajate kontrollitavatest serveritest täiendavat binaarkoormust. Seda allalaadijat on juba töös täheldatud, pakkudes kaugjuurdepääsu trooja (RAT) ohte, nagu DCRat, njRAT , DarkComet ja Agent Tesla .