Zlonamjerni softver SapphireStealer

Više skupina koristi zlonamjerni softver otvorenog koda za prikupljanje informacija pod nazivom SapphireStealer, izgrađen na .NET okviru, kako bi poboljšao svoje mogućnosti i stvorio prilagođene verzije. Stručnjaci za kibernetičku sigurnost otkrivaju da se zlonamjerni softver za prikupljanje informacija, kao što je SapphireStealer, koristi za prikupljanje kritičnih podataka, uključujući korporativne vjerodajnice za prijavu. Te nezakonito stečene vjerodajnice često se prodaju drugim zlonamjernim akterima koji ih iskorištavaju za pokretanje daljnjih napada, od špijunaže do ransomwarea i operacija iznude.

Ova vrsta zlonamjernog softvera ne samo da označava napredak modela kibernetičkog kriminala kao usluge (CaaS), već također pruža prilike drugim akterima povezanim s prijevarama da profitiraju od ukradenih podataka omogućavanjem distribucije ransomwarea, provođenjem krađe podataka i angažiranjem u raznim drugim opakim cyber aktivnostima.

SapphireStealer hvata razne osjetljive informacije s kompromitiranih uređaja

SapphireStealer, zlonamjerni softver za prikupljanje informacija temeljen na .NET-u, posjeduje jednostavan, ali učinkovit skup značajki dizajniran za izdvajanje osjetljivih podataka iz kompromitiranih sustava. Njegove mogućnosti uključuju:

• • Prikupljanje podataka o domaćinu.

• • Snimanje snimki zaslona.

• • Prikupljanje predmemoriranih vjerodajnica preglednika.

• • Identificiranje i ciljanje određenih datoteka na zaraženom sustavu na temelju unaprijed definiranih ekstenzija datoteka.

Nakon početnog pokretanja, zlonamjerni softver provodi provjeru kako bi utvrdio prisutnost aktivnih procesa preglednika u sustavu. Skenira popis trenutno pokrenutih procesa tražeći podudaranja sa sljedećim nazivima procesa: chrome, yandex, msedge i Opera. Ako se pronađu podudarni procesi, zlonamjerni softver koristi metodu Process.Kill() da ih prekine.

Nadalje, zlonamjerni softver koristi tvrdo kodirani popis putova datoteka za otkrivanje postojanja baza vjerodajnica povezanih s približno 15 različitih web preglednika, uključujući Chrome, Operu, Yandex, Brave Browser, Microsoft Edge, Atom preglednike i druge.

Nakon toga, SapphireStealer nastoji snimiti snimku zaslona iz ugroženog sustava, spremajući je u isti radni direktorij pod nazivom 'Screenshot.png.' Kako bi proširio svoje napore u prikupljanju podataka, zlonamjerni softver pokreće komponentu za hvatanje datoteka, s ciljem lociranja datoteka unutar mape na radnoj površini žrtve koje odgovaraju unaprijed definiranom popisu ekstenzija datoteka.

Naposljetku, ukradeni podaci se prenose napadaču putem Simple Mail Transfer Protocol-a (SMTP), pri čemu su potrebne vjerodajnice navedene unutar koda odgovornog za sastavljanje i slanje poruke.

Cyberkriminalci aktivno razvijaju varijante SapphireStealer

SapphireStealer nalikuje brojnim drugim vrstama zlonamjernog softvera za prikupljanje podataka koji su sve rašireniji na Dark Webu. Međutim, ono što ga izdvaja jest činjenica da je njegov izvorni kod otvoreno besplatno objavljen krajem prosinca 2022. To je omogućilo akterima povezanima s prijevarama da eksperimentiraju sa zlonamjernim softverom, što ga je učinilo znatno težim za otkrivanje. Kao rezultat toga, uveli su prilagodljive metode eksfiltracije podataka, kao što je korištenje Discord webhooka ili Telegram API-ja.

Brojne varijacije ove prijetnje već su se pojavile u divljini, a akteri prijetnji neprestano usavršavaju svoju učinkovitost i djelotvornost tijekom vremena.

Dodatno, autor zlonamjernog softvera objavio je .NET program za preuzimanje zlonamjernog softvera kodnog naziva FUD-Loader, koji omogućuje dohvaćanje dodatnih binarnih korisnih podataka sa poslužitelja koje kontroliraju napadači. Ovaj downloader je već primijećen u akciji, isporučujući prijetnje Trojanca s daljinskim pristupom (RAT) kao što su DCRat, njRAT , DarkComet i Agent Tesla .