Malware SapphireStealer

Diversi gruppi utilizzano un malware di raccolta informazioni open source chiamato SapphireStealer, basato sul framework .NET, per rafforzare le proprie capacità e creare versioni personalizzate. Gli esperti di sicurezza informatica rivelano che malware per la raccolta di informazioni come SapphireStealer vengono utilizzati per acquisire dati critici, comprese le credenziali di accesso aziendali. Queste credenziali ottenute illecitamente vengono spesso vendute ad altri attori malintenzionati che le sfruttano per lanciare ulteriori attacchi, che vanno dallo spionaggio al ransomware e alle operazioni di estorsione.

Questo tipo di malware non solo rappresenta il progresso del modello CaaS (crimine informatico come servizio), ma offre anche opportunità ad altri attori legati alle frodi di trarre profitto dai dati rubati facilitando la distribuzione del ransomware, effettuando il furto di dati e coinvolgendo in varie altre attività informatiche nefaste.

SapphireStealer cattura varie informazioni sensibili da dispositivi compromessi

SapphireStealer, un malware per la raccolta di informazioni basato su .NET, possiede un set di funzionalità semplici ma efficaci progettate per estrarre dati sensibili da sistemi compromessi. Le sue capacità includono:

• • Raccolta di informazioni sull'ospite.

• • Catturare screenshot.

• • Raccolta delle credenziali del browser memorizzate nella cache.

• • Identificazione e targeting di file specifici sul sistema infetto in base a estensioni di file predefinite.

Al momento della sua esecuzione iniziale, il malware effettua un controllo per determinare la presenza di eventuali processi del browser attivi nel sistema. Esegue la scansione dell'elenco dei processi attualmente in esecuzione per individuare corrispondenze con i seguenti nomi di processi: chrome, yandex, msedge e Opera. Se vengono trovati processi corrispondenti, il malware utilizza il metodo Process.Kill() per terminarli.

Inoltre, il malware utilizza un elenco codificato di percorsi di file per rilevare l'esistenza di database di credenziali associati a circa 15 browser Web diversi, tra cui Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browsers e altri.

Successivamente, SapphireStealer tenta di catturare uno screenshot dal sistema compromesso, salvandolo nella stessa directory di lavoro con il nome file "Screenshot.png". Per espandere i propri sforzi di raccolta dati, il malware attiva un componente di cattura file, con l'obiettivo di individuare i file all'interno della cartella Desktop della vittima che corrispondono a un elenco predefinito di estensioni di file.

Infine, i dati rubati vengono trasmessi all'aggressore tramite il Simple Mail Transfer Protocol (SMTP), specificando le credenziali richieste all'interno del codice responsabile della composizione e dell'invio del messaggio.

Le varianti SapphireStealer vengono sviluppate attivamente dai criminali informatici

SapphireStealer assomiglia a numerosi altri ceppi di malware di raccolta dati che sono diventati sempre più diffusi nel Dark Web. Tuttavia, ciò che lo distingue è il fatto che il suo codice sorgente è stato rilasciato apertamente e gratuitamente alla fine di dicembre 2022. Ciò ha consentito agli attori legati alle frodi di sperimentare il malware, rendendolo notevolmente più difficile da rilevare. Di conseguenza, hanno introdotto metodi di esfiltrazione dei dati adattabili, come sfruttare un webhook Discord o l’API di Telegram.

Numerose varianti di questa minaccia sono già emerse in circolazione, e gli autori delle minacce perfezionano continuamente la loro efficienza ed efficacia nel tempo.

Inoltre, l'autore del malware ha reso pubblico un downloader di malware .NET, nome in codice FUD-Loader, che consente il recupero di ulteriori payload binari dai server controllati dagli aggressori. Questo downloader è già stato osservato in azione, diffondendo minacce Trojan di accesso remoto (RAT) come DCRat, njRAT , DarkComet e Agent Tesla .