SapphireStealer Malware

Több csoport a .NET keretrendszerre épülő, SapphireStealer nevű, nyílt forráskódú információgyűjtő kártevőt alkalmaz, hogy erősítse képességeit és személyre szabott verziókat hozzon létre. A kiberbiztonsági szakértők feltárják, hogy az olyan információgyűjtő rosszindulatú programokat, mint a SapphireStealer, a kritikus adatok, köztük a vállalati bejelentkezési adatok megszerzésére használják. Ezeket a jogosulatlanul szerzett igazolványokat gyakran eladják más rosszindulatú szereplőknek, akik kihasználják őket további támadások indítására, a kémkedéstől a zsarolóprogramokig és a zsarolásig.

Az ilyen típusú rosszindulatú programok nemcsak a kiberbűnözés, mint szolgáltatás (CaaS) modelljének előrehaladását jelentik, hanem lehetőséget adnak a csalással kapcsolatos más szereplők számára, hogy hasznot húzzanak az ellopott adatokból azáltal, hogy megkönnyítik a zsarolóprogramok terjesztését, az adatlopást és a bevonást. különféle egyéb aljas kibertevékenységekben.

A SapphireStealer különféle érzékeny információkat rögzít a veszélyeztetett eszközökről

A SapphireStealer, egy .NET-alapú információgyűjtő rosszindulatú program, egy egyszerű, de hatékony funkciókészlettel rendelkezik, amelyet arra terveztek, hogy érzékeny adatokat nyerjen ki a feltört rendszerekből. Képességei a következők:

• • Gazdainformáció gyűjtése.

• • Képernyőképek rögzítése.

• • A gyorsítótárazott böngésző hitelesítő adatainak begyűjtése.

• • Adott fájlok azonosítása és célzása a fertőzött rendszeren előre meghatározott fájlkiterjesztések alapján.

A rosszindulatú program kezdeti végrehajtása során ellenőrzést végez annak megállapítására, hogy vannak-e aktív böngészőfolyamatok a rendszeren. Ellenőrzi a jelenleg futó folyamatok listáját a következő folyamatnevekkel: chrome, yandex, msedge és Opera. Ha talál egyező folyamatot, a rosszindulatú program a Process.Kill() metódust használja a leállításukra.

Ezenkívül a rosszindulatú program a fájl útvonalak keményen kódolt listáját használja fel, hogy észlelje a hozzávetőlegesen 15 különböző webböngészőhöz kapcsolódó hitelesítőadatbázisok létezését, köztük a Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browsers stb.

Ezt követően a SapphireStealer megpróbál egy képernyőképet rögzíteni a feltört rendszerről, és elmenti azt ugyanabba a munkakönyvtárba, 'Screenshot.png' fájlnéven. Adatgyűjtési erőfeszítéseinek bővítése érdekében a rosszindulatú program egy fájlfogó komponenst indít el, amelynek célja, hogy megtalálja azokat a fájlokat az áldozat Desktop mappájában, amelyek megfelelnek a fájlkiterjesztések előre meghatározott listájának.

Végül az ellopott adatokat a Simple Mail Transfer Protocol (SMTP) protokollon keresztül továbbítják a támadónak, és a szükséges hitelesítési adatokat az üzenet összeállításáért és elküldéséért felelős kódban határozzák meg.

A SapphireStealer változatokat a kiberbűnözők aktívan fejlesztik

A SapphireStealer számos más adatgyűjtő rosszindulatú programtörzshez hasonlít, amelyek egyre inkább elterjedtek a sötét weben. Ami azonban megkülönbözteti, az a tény, hogy forráskódját nyíltan, ingyenesen kiadták 2022 decemberének végén. Ez felhatalmazta a csalással kapcsolatos szereplőket arra, hogy kísérletezzenek a rosszindulatú programmal, ami jelentősen megnehezíti annak észlelését. Ennek eredményeként olyan adaptálható adatkiszűrési módszereket vezettek be, mint például a Discord webhook vagy a Telegram API kihasználása.

Ennek a fenyegetésnek számos változata került már felszínre a vadonban, és a fenyegetés szereplői az idő múlásával folyamatosan finomítják hatékonyságukat és eredményességüket.

Ezenkívül a kártevő szerzője nyilvánosságra hozott egy FUD-Loader kódnevű .NET kártevő-letöltőt, amely lehetővé teszi további bináris rakományok lekérését a támadók által irányított szerverekről. Ezt a letöltőt már megfigyelték működés közben, és olyan távoli hozzáférésű trójai (RAT) fenyegetéseket szállít, mint a DCRat, njRAT , DarkComet és Agent Tesla .