SapphireStealer-haittaohjelma

Useat ryhmät käyttävät avoimen lähdekoodin tiedonkeruuhaittaohjelmaa nimeltä SapphireStealer, joka on rakennettu .NET-kehykseen, vahvistaakseen ominaisuuksiaan ja luodakseen räätälöityjä versioita. Kyberturvallisuusasiantuntijat paljastavat, että tietoa kerääviä haittaohjelmia, kuten SapphireStealer, käytetään kriittisten tietojen hankkimiseen, mukaan lukien yrityksen kirjautumistiedot. Nämä väärin hankitut valtuustiedot myydään usein muille huonomielisille toimijoille, jotka käyttävät niitä hyväkseen uusien hyökkäysten käynnistämiseen, jotka vaihtelevat vakoilusta kiristysohjelmiin ja kiristysoperaatioihin.

Tämän tyyppiset haittaohjelmat eivät ainoastaan tarkoita kyberrikollisuuden palveluna (CaaS) -mallin kehittymistä, vaan tarjoavat myös muille petokseen liittyville toimijoille mahdollisuuksia hyötyä ryöstetyistä tiedoista helpottamalla kiristysohjelmien levitystä, suorittamalla tietovarkauksia ja osallistumalla. monissa muissa pahantahtoisissa kybertoiminnoissa.

SapphireStealer kaappaa useita arkaluonteisia tietoja vaarantuneista laitteista

SapphireStealer, .NET-pohjainen tiedonkeruuhaittaohjelma, sisältää yksinkertaisen mutta tehokkaan ominaisuussarjan, joka on suunniteltu arkaluonteisten tietojen poimimiseen vaarantuneista järjestelmistä. Sen ominaisuuksiin kuuluvat:

• • Isäntätietojen kerääminen.

• • Kuvakaappausten ottaminen.

• • Kerätään välimuistissa olevia selaimen tunnistetietoja.

• • Tiettyjen tiedostojen tunnistaminen ja kohdistaminen tartunnan saaneessa järjestelmässä ennalta määritettyjen tiedostopäätteiden perusteella.

Alkuvaiheessa haittaohjelma suorittaa tarkistuksen määrittääkseen, onko järjestelmässä aktiivisia selainprosesseja. Se etsii parhaillaan käynnissä olevien prosessien luettelosta osumia seuraavilla prosessinimillä: chrome, yandex, msedge ja Opera. Jos vastaavia prosesseja löytyy, haittaohjelma lopettaa ne Process.Kill()-menetelmällä.

Lisäksi haittaohjelma käyttää kovakoodattua tiedostopolkuluetteloa havaitakseen tunnistetietokannan olemassaolon, joka liittyy noin 15 eri verkkoselaimeen, mukaan lukien Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browserit ja monet muut.

Myöhemmin SapphireStealer yrittää kaapata kuvakaappauksen vaarantuneesta järjestelmästä ja tallentaa sen samaan työhakemistoon tiedostonimellä "Screenshot.png". Laajentaakseen tiedonkeruutoimiaan haittaohjelma laukaisee tiedostojen sieppauskomponentin, jonka tarkoituksena on paikantaa uhrin työpöytäkansiosta tiedostoja, jotka vastaavat ennalta määritettyä tiedostopääteluetteloa.

Lopuksi varastetut tiedot välitetään hyökkääjälle SMTP (Simple Mail Transfer Protocol) -protokollan kautta, ja tarvittavat tunnistetiedot on määritetty viestin kirjoittamisesta ja lähettämisestä vastaavassa koodissa.

Kyberrikolliset kehittävät aktiivisesti SapphireStealer-variantteja

SapphireStealer muistuttaa lukuisia muita tietoja kerääviä haittaohjelmakantoja, joista on tullut yhä yleisempiä Dark Webissä. Sen erottaa kuitenkin se, että sen lähdekoodi julkaistiin avoimesti ilmaiseksi joulukuun 2022 lopulla. Tämä on antanut petokseen liittyville toimijoille mahdollisuuden kokeilla haittaohjelmia, mikä tekee sen havaitsemisesta huomattavasti vaikeampaa. Tämän seurauksena he ovat ottaneet käyttöön mukautuvat tietojen suodatusmenetelmät, kuten Discord-webhookin tai Telegram API:n hyödyntämisen.

Tämän uhan lukuisia muunnelmia on jo noussut esiin luonnossa, ja uhkatekijät parantavat jatkuvasti tehokkuuttaan ja vaikuttavuuttaan ajan myötä.

Lisäksi haittaohjelmien tekijä on julkistanut .NET-haittaohjelmien latausohjelman, koodinimeltään FUD-Loader, joka mahdollistaa ylimääräisten binaaristen hyötykuormien hakemisen hyökkääjien hallitsemista palvelimilta. Tämä latausohjelma on jo havaittu toiminnassa ja se tarjoaa etäkäyttötroijalaisia (RAT) -uhkia, kuten DCRat, njRAT , DarkComet ja Agent Tesla .