SapphireStealer मैलवेयर
कई समूह अपनी क्षमताओं को बढ़ाने और अनुकूलित संस्करण बनाने के लिए .NET फ्रेमवर्क पर निर्मित सफायरस्टीलर नामक एक ओपन-सोर्स सूचना-संग्रह मैलवेयर का उपयोग करते हैं। साइबर सुरक्षा विशेषज्ञ बताते हैं कि सफायरस्टीलर जैसे सूचना एकत्र करने वाले मैलवेयर का उपयोग कॉर्पोरेट लॉगिन क्रेडेंशियल सहित महत्वपूर्ण डेटा प्राप्त करने के लिए किया जाता है। ये गलत तरीके से हासिल की गई साख अक्सर अन्य बीमार दिमाग वाले अभिनेताओं को बेची जाती है जो जासूसी से लेकर रैंसमवेयर और जबरन वसूली ऑपरेशन तक आगे के हमले शुरू करने के लिए उनका शोषण करते हैं।
इस प्रकार का मैलवेयर न केवल साइबरक्राइम-ए-ए-सर्विस (CaaS) मॉडल की प्रगति का प्रतीक है, बल्कि अन्य धोखाधड़ी से संबंधित अभिनेताओं को रैंसमवेयर वितरण, डेटा चोरी को अंजाम देने और इसमें शामिल होने की सुविधा देकर चुराए गए डेटा से लाभ कमाने के अवसर भी प्रदान करता है। विभिन्न अन्य नापाक साइबर गतिविधियों में।
सफायरस्टीलर समझौता किए गए उपकरणों से विभिन्न संवेदनशील जानकारी प्राप्त करता है
SapphireStealer, एक .NET-आधारित जानकारी एकत्र करने वाला मैलवेयर है, जिसमें समझौता किए गए सिस्टम से संवेदनशील डेटा निकालने के लिए डिज़ाइन किया गया एक सीधा लेकिन प्रभावी फीचर सेट है। इसकी क्षमताओं में शामिल हैं:
-
- मेज़बान जानकारी एकत्रित करना.
-
- स्क्रीनशॉट कैप्चर करना.
-
- कैश्ड ब्राउज़र क्रेडेंशियल एकत्रित करना।
-
- पूर्वनिर्धारित फ़ाइल एक्सटेंशन के आधार पर संक्रमित सिस्टम पर विशिष्ट फ़ाइलों की पहचान करना और उन्हें लक्षित करना।
अपने प्रारंभिक निष्पादन पर, मैलवेयर सिस्टम पर किसी भी सक्रिय ब्राउज़र प्रक्रियाओं की उपस्थिति निर्धारित करने के लिए जांच करता है। यह निम्नलिखित प्रक्रिया नामों के साथ मिलान के लिए वर्तमान में चल रही प्रक्रियाओं की सूची को स्कैन करता है: क्रोम, यांडेक्स, एमएसेज और ओपेरा। यदि कोई मेल खाती प्रक्रियाएं पाई जाती हैं, तो मैलवेयर उन्हें समाप्त करने के लिए प्रोसेस.किल() विधि का उपयोग करता है।
इसके अलावा, मैलवेयर क्रोम, ओपेरा, यांडेक्स, ब्रेव ब्राउज़र, माइक्रोसॉफ्ट एज, एटम ब्राउज़र्स और अन्य सहित लगभग 15 विभिन्न वेब ब्राउज़रों से जुड़े क्रेडेंशियल डेटाबेस के अस्तित्व का पता लगाने के लिए फ़ाइल पथों की एक हार्ड-कोडित सूची का उपयोग करता है।
इसके बाद, सैफायरस्टीलर समझौता किए गए सिस्टम से एक स्क्रीनशॉट कैप्चर करने का प्रयास करता है, इसे फ़ाइल नाम 'स्क्रीनशॉट.पीएनजी' के तहत उसी कार्यशील निर्देशिका में सहेजता है। अपने डेटा संग्रह प्रयासों का विस्तार करने के लिए, मैलवेयर एक फ़ाइल ग्रैबर घटक को ट्रिगर करता है, जिसका लक्ष्य पीड़ित के डेस्कटॉप फ़ोल्डर के भीतर फ़ाइलों का पता लगाना है जो फ़ाइल एक्सटेंशन की पूर्वनिर्धारित सूची से मेल खाते हैं।
अंत में, चुराया गया डेटा सिंपल मेल ट्रांसफर प्रोटोकॉल (एसएमटीपी) के माध्यम से हमलावर को प्रेषित किया जाता है, जिसमें संदेश लिखने और भेजने के लिए जिम्मेदार कोड के भीतर आवश्यक क्रेडेंशियल निर्दिष्ट किए जाते हैं।
सैफायरस्टीलर वेरिएंट को साइबर अपराधियों द्वारा सक्रिय रूप से विकसित किया जा रहा है
सैफायरस्टीलर कई अन्य डेटा एकत्र करने वाले मैलवेयर प्रकारों से मिलता-जुलता है जो डार्क वेब पर तेजी से प्रचलित हो गए हैं। हालाँकि, जो बात इसे अलग करती है वह यह है कि इसका स्रोत कोड दिसंबर 2022 के अंत में खुले तौर पर मुफ्त में जारी किया गया था। इसने धोखाधड़ी से संबंधित अभिनेताओं को मैलवेयर के साथ प्रयोग करने का अधिकार दिया है, जिससे इसका पता लगाना काफी चुनौतीपूर्ण हो गया है। परिणामस्वरूप, उन्होंने अनुकूलनीय डेटा एक्सफ़िल्ट्रेशन तरीकों की शुरुआत की है, जैसे डिस्कॉर्ड वेबहुक या टेलीग्राम एपीआई का लाभ उठाना।
इस खतरे के कई रूप पहले ही सामने आ चुके हैं, खतरे वाले कलाकार समय के साथ लगातार अपनी दक्षता और प्रभावशीलता में सुधार कर रहे हैं।
इसके अतिरिक्त, मैलवेयर लेखक ने एक .NET मैलवेयर डाउनलोडर को सार्वजनिक किया है, जिसका कोडनेम FUD-लोडर है, जो हमलावरों द्वारा नियंत्रित सर्वर से अतिरिक्त बाइनरी पेलोड की पुनर्प्राप्ति की अनुमति देता है। इस डाउनलोडर को पहले ही एक्शन में देखा जा चुका है, जो डीसीआरएटी, एनजेआरएटी , डार्ककॉमेट और एजेंट टेस्ला जैसे रिमोट एक्सेस ट्रोजन (आरएटी) खतरों को पेश करता है।
