بدافزار SapphireStealer
چندین گروه از یک بدافزار جمعآوری اطلاعات منبع باز به نام SapphireStealer که بر روی چارچوب دات نت ساخته شده است، برای تقویت قابلیتهای خود و ایجاد نسخههای سفارشی استفاده میکنند. کارشناسان امنیت سایبری نشان میدهند که بدافزار جمعآوری اطلاعات مانند SapphireStealer برای به دست آوردن دادههای حیاتی، از جمله اعتبارنامه ورود شرکتها، استفاده میشود. این اعتبارنامههای بهدستآمده اغلب به سایر بازیگران بد فکر فروخته میشود که از آنها برای انجام حملات بیشتر، از جاسوسی گرفته تا باجافزار و عملیات اخاذی، سوءاستفاده میکنند.
این نوع بدافزار نه تنها نشان دهنده پیشرفت مدل جرایم سایبری به عنوان یک سرویس (CaaS) است، بلکه فرصت هایی را برای سایر بازیگران مرتبط با کلاهبرداری فراهم می کند تا از داده های سرقت شده با تسهیل توزیع باج افزار، انجام سرقت داده ها و تعامل سود ببرند. در سایر فعالیت های سایبری شرورانه دیگر.
SapphireStealer اطلاعات حساس مختلف را از دستگاه های در معرض خطر می گیرد
SapphireStealer، یک بدافزار جمعآوری اطلاعات مبتنی بر دات نت، دارای یک مجموعه ویژگی ساده و در عین حال مؤثر است که برای استخراج دادههای حساس از سیستمهای در معرض خطر طراحی شده است. قابلیت های آن عبارتند از:
-
- جمع آوری اطلاعات میزبان
-
- گرفتن اسکرین شات.
-
- در حال جمع آوری اطلاعات کاربری حافظه پنهان مرورگر.
-
- شناسایی و هدف قرار دادن فایل های خاص در سیستم آلوده بر اساس پسوند فایل از پیش تعریف شده.
پس از اجرای اولیه، بدافزار بررسی میکند تا وجود هر فرآیند فعال مرورگر را در سیستم مشخص کند. لیست فرآیندهای در حال اجرا را برای مطابقت با نامهای فرآیند زیر اسکن میکند: chrome، yandex، msedge و Opera. اگر فرآیندهای منطبقی یافت شود، بدافزار از متد Process.Kill() برای خاتمه دادن به آنها استفاده می کند.
علاوه بر این، این بدافزار از یک لیست رمزگذاری شده از مسیرهای فایل برای شناسایی وجود پایگاههای اطلاعاتی اعتبار مرتبط با تقریباً 15 مرورگر وب مختلف، از جمله Chrome، Opera، Yandex، Brave Browser، Microsoft Edge، Atom Browser و غیره استفاده میکند.
متعاقباً، SapphireStealer تلاش میکند تا یک اسکرینشات از سیستم در معرض خطر بگیرد و آن را در همان فهرست کاری تحت نام فایل «Screenshot.png» ذخیره کند. این بدافزار برای گسترش تلاشهای خود برای جمعآوری دادهها، یک مؤلفه گیرنده فایل را راهاندازی میکند و هدف آن یافتن فایلهایی در پوشه دسکتاپ قربانی است که با فهرست از پیش تعریفشده پسوندهای فایل مطابقت دارند.
در نهایت، دادههای سرقتشده از طریق پروتکل انتقال نامه ساده (SMTP) به مهاجم منتقل میشوند و اعتبار مورد نیاز در کدی که مسئول نوشتن و ارسال پیام است، مشخص میشود.
انواع SapphireStealer به طور فعال توسط مجرمان سایبری در حال توسعه هستند
SapphireStealer شبیه سایر گونههای بدافزار جمعآوری اطلاعات است که به طور فزایندهای در دارک وب رایج شدهاند. با این حال، چیزی که آن را متمایز می کند این واقعیت است که کد منبع آن در اواخر دسامبر 2022 به صورت رایگان منتشر شد. این امر به بازیگران مرتبط با کلاهبرداری قدرت داده است تا با این بدافزار آزمایش کنند و شناسایی آن را بسیار چالش برانگیزتر می کند. در نتیجه، آنها روشهای استخراج دادههای سازگار را معرفی کردهاند، مانند استفاده از وب هوک Discord یا API تلگرام.
تغییرات متعددی از این تهدید قبلاً در طبیعت ظاهر شده است و عوامل تهدید به طور مداوم کارایی و اثربخشی خود را در طول زمان اصلاح می کنند.
علاوه بر این، نویسنده بدافزار یک دانلود کننده بدافزار دات نت را با نام رمز FUD-Loader عمومی کرده است که امکان بازیابی بارهای باینری اضافی را از سرورهای کنترل شده توسط مهاجمان فراهم می کند. این دانلودر قبلاً در عمل مشاهده شده است و تهدیدات تروجان دسترسی از راه دور (RAT) مانند DCRat، njRAT ، DarkComet و Agent Tesla را ارائه می دهد.