بدافزار SapphireStealer

چندین گروه از یک بدافزار جمع‌آوری اطلاعات منبع باز به نام SapphireStealer که بر روی چارچوب دات نت ساخته شده است، برای تقویت قابلیت‌های خود و ایجاد نسخه‌های سفارشی استفاده می‌کنند. کارشناسان امنیت سایبری نشان می‌دهند که بدافزار جمع‌آوری اطلاعات مانند SapphireStealer برای به دست آوردن داده‌های حیاتی، از جمله اعتبارنامه ورود شرکت‌ها، استفاده می‌شود. این اعتبارنامه‌های به‌دست‌آمده اغلب به سایر بازیگران بد فکر فروخته می‌شود که از آنها برای انجام حملات بیشتر، از جاسوسی گرفته تا باج‌افزار و عملیات اخاذی، سوءاستفاده می‌کنند.

این نوع بدافزار نه تنها نشان دهنده پیشرفت مدل جرایم سایبری به عنوان یک سرویس (CaaS) است، بلکه فرصت هایی را برای سایر بازیگران مرتبط با کلاهبرداری فراهم می کند تا از داده های سرقت شده با تسهیل توزیع باج افزار، انجام سرقت داده ها و تعامل سود ببرند. در سایر فعالیت های سایبری شرورانه دیگر.

SapphireStealer اطلاعات حساس مختلف را از دستگاه های در معرض خطر می گیرد

SapphireStealer، یک بدافزار جمع‌آوری اطلاعات مبتنی بر دات نت، دارای یک مجموعه ویژگی ساده و در عین حال مؤثر است که برای استخراج داده‌های حساس از سیستم‌های در معرض خطر طراحی شده است. قابلیت های آن عبارتند از:

• • جمع آوری اطلاعات میزبان

• • گرفتن اسکرین شات.

• • در حال جمع آوری اطلاعات کاربری حافظه پنهان مرورگر.

• • شناسایی و هدف قرار دادن فایل های خاص در سیستم آلوده بر اساس پسوند فایل از پیش تعریف شده.

پس از اجرای اولیه، بدافزار بررسی می‌کند تا وجود هر فرآیند فعال مرورگر را در سیستم مشخص کند. لیست فرآیندهای در حال اجرا را برای مطابقت با نام‌های فرآیند زیر اسکن می‌کند: chrome، yandex، msedge و Opera. اگر فرآیندهای منطبقی یافت شود، بدافزار از متد Process.Kill() برای خاتمه دادن به آنها استفاده می کند.

علاوه بر این، این بدافزار از یک لیست رمزگذاری شده از مسیرهای فایل برای شناسایی وجود پایگاه‌های اطلاعاتی اعتبار مرتبط با تقریباً 15 مرورگر وب مختلف، از جمله Chrome، Opera، Yandex، Brave Browser، Microsoft Edge، Atom Browser و غیره استفاده می‌کند.

متعاقباً، SapphireStealer تلاش می‌کند تا یک اسکرین‌شات از سیستم در معرض خطر بگیرد و آن را در همان فهرست کاری تحت نام فایل «Screenshot.png» ذخیره کند. این بدافزار برای گسترش تلاش‌های خود برای جمع‌آوری داده‌ها، یک مؤلفه گیرنده فایل را راه‌اندازی می‌کند و هدف آن یافتن فایل‌هایی در پوشه دسک‌تاپ قربانی است که با فهرست از پیش تعریف‌شده پسوندهای فایل مطابقت دارند.

در نهایت، داده‌های سرقت‌شده از طریق پروتکل انتقال نامه ساده (SMTP) به مهاجم منتقل می‌شوند و اعتبار مورد نیاز در کدی که مسئول نوشتن و ارسال پیام است، مشخص می‌شود.

انواع SapphireStealer به طور فعال توسط مجرمان سایبری در حال توسعه هستند

SapphireStealer شبیه سایر گونه‌های بدافزار جمع‌آوری اطلاعات است که به طور فزاینده‌ای در دارک وب رایج شده‌اند. با این حال، چیزی که آن را متمایز می کند این واقعیت است که کد منبع آن در اواخر دسامبر 2022 به صورت رایگان منتشر شد. این امر به بازیگران مرتبط با کلاهبرداری قدرت داده است تا با این بدافزار آزمایش کنند و شناسایی آن را بسیار چالش برانگیزتر می کند. در نتیجه، آن‌ها روش‌های استخراج داده‌های سازگار را معرفی کرده‌اند، مانند استفاده از وب هوک Discord یا API تلگرام.

تغییرات متعددی از این تهدید قبلاً در طبیعت ظاهر شده است و عوامل تهدید به طور مداوم کارایی و اثربخشی خود را در طول زمان اصلاح می کنند.

علاوه بر این، نویسنده بدافزار یک دانلود کننده بدافزار دات نت را با نام رمز FUD-Loader عمومی کرده است که امکان بازیابی بارهای باینری اضافی را از سرورهای کنترل شده توسط مهاجمان فراهم می کند. این دانلودر قبلاً در عمل مشاهده شده است و تهدیدات تروجان دسترسی از راه دور (RAT) مانند DCRat، njRAT ، DarkComet و Agent Tesla را ارائه می دهد.