תוכנת זדונית SapphireStealer

קבוצות מרובות משתמשות בתוכנה זדונית לאיסוף מידע בקוד פתוח בשם SapphireStealer, הבנויה על מסגרת NET, כדי לחזק את היכולות שלהן וליצור גרסאות מותאמות אישית. מומחי אבטחת סייבר חושפים כי תוכנות זדוניות לאיסוף מידע כגון SapphireStealer משמשות לרכישת נתונים קריטיים, כולל אישורי התחברות ארגוניים. אישורים שהושגו בצורה לא נכונה נמכרים לעתים קרובות לשחקנים רעים אחרים שמנצלים אותם כדי לפתוח בהתקפות נוספות, החל מריגול ועד לפעולות כופר וסחיטה.

סוג זה של תוכנות זדוניות מסמל לא רק את התקדמותו של מודל פשעי סייבר כשירות (CaaS), אלא גם מספק הזדמנויות לשחקנים אחרים הקשורים להונאה להרוויח מהנתונים שנגנבו על ידי הקלה על הפצת תוכנות כופר, ביצוע גניבת נתונים ומעורבות בפעילויות סייבר מרושעות אחרות.

SapphireStealer לוכד מידע רגיש שונה ממכשירים שנפגעו

SapphireStealer, תוכנת זדונית לאיסוף מידע מבוססת NET, בעלת מערך תכונות פשוט אך יעיל שנועד לחילוץ נתונים רגישים ממערכות שנפגעו. היכולות שלו כוללות:

• • איסוף מידע מארח.

• • לכידת צילומי מסך.

• • קצירת אישורי דפדפן בקובץ שמור.

• • זיהוי ומיקוד של קבצים ספציפיים במערכת הנגועה בהתבסס על סיומות קבצים מוגדרות מראש.

עם ביצועו הראשוני, התוכנה הזדונית מבצעת בדיקה כדי לקבוע את נוכחותם של כל תהליכי דפדפן פעילים במערכת. הוא סורק את רשימת התהליכים הפועלים כעת עבור התאמות עם שמות התהליכים הבאים: chrome, yandex, msedge ו-Opera. אם נמצאו תהליכים תואמים, התוכנה הזדונית משתמשת בשיטת Process.Kill() כדי לסיים אותם.

יתר על כן, התוכנה הזדונית משתמשת ברשימה מקודדת של נתיבי קבצים כדי לזהות את קיומם של מסדי נתונים של אישורים הקשורים לכ-15 דפדפני אינטרנט שונים, כולל Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browsers ועוד.

לאחר מכן, SapphireStealer מנסה לצלם צילום מסך מהמערכת שנפגעה, לשמור אותו באותה ספריית עבודה תחת שם הקובץ 'Screenshot.png'. כדי להרחיב את מאמצי איסוף הנתונים שלה, התוכנה הזדונית מפעילה רכיב חוטף קבצים, במטרה לאתר קבצים בתיקיית שולחן העבודה של הקורבן התואמים לרשימה מוגדרת מראש של סיומות קבצים.

לבסוף, הנתונים שנגנבו מועברים לתוקף באמצעות פרוטוקול העברת הדואר הפשוט (SMTP), כאשר האישורים הנדרשים מצוינים בתוך הקוד שאחראי על חיבור ושליחת ההודעה.

גרסאות SapphireStealer מפותחות באופן פעיל על ידי פושעי סייבר

SapphireStealer דומה למספר רב של זני תוכנות זדוניות אחרות לאיסוף נתונים שהפכו נפוצים יותר ויותר ברשת האפלה. עם זאת, מה שמייחד אותו הוא העובדה שקוד המקור שלו שוחרר בגלוי בחינם בסוף דצמבר 2022. זה איפשר לשחקנים הקשורים להונאה להתנסות בתוכנה הזדונית, מה שהפך אותו להרבה יותר מאתגר לאיתור. כתוצאה מכך, הם הציגו שיטות סינון נתונים ניתנות להתאמה, כמו מינוף של Discord webhook או ה-API של Telegram.

וריאציות רבות של האיום הזה כבר צצו בטבע, כאשר גורמי האיום משכללים ללא הרף את היעילות והיעילות שלהם לאורך זמן.

בנוסף, מחבר התוכנות הזדוניות פרסם לציבור תוכנה להורדת תוכנות זדוניות מסוג .NET, בשם הקוד FUD-Loader, המאפשרת שליפה של מטענים בינאריים נוספים משרתים הנשלטים על ידי תוקפים. הורדה זה כבר נצפה בפעולה, ומספק איומים טרויאניים של גישה מרחוק (RAT) כמו DCRat, njRAT , DarkComet ו- Agent Tesla .