SapphireStealer 악성코드

여러 그룹이 .NET 프레임워크를 기반으로 구축된 SapphireStealer라는 오픈 소스 정보 수집 악성 코드를 사용하여 기능을 강화하고 사용자 정의 버전을 생성합니다. 사이버 보안 전문가들은 SapphireStealer와 같은 정보 수집 악성 코드가 기업 로그인 자격 증명을 포함한 중요한 데이터를 획득하는 데 사용된다고 밝혔습니다. 이러한 부당하게 획득한 자격 증명은 스파이 활동부터 랜섬웨어 및 강탈 작전에 이르기까지 추가 공격을 시작하기 위해 이를 악용하는 다른 악의적인 행위자에게 자주 판매됩니다.

이러한 유형의 맬웨어는 CaaS(Cybercrime-as-a-Service) 모델의 발전을 의미할 뿐만 아니라 다른 사기 관련 행위자가 랜섬웨어 배포를 촉진하고 데이터 도용을 수행하고 공격을 가함으로써 훔친 데이터로부터 이익을 얻을 수 있는 기회를 제공합니다. 기타 다양한 악의적인 사이버 활동에 참여합니다.

SapphireStealer는 손상된 장치에서 다양한 민감한 정보를 캡처합니다.

.NET 기반 정보 수집 악성 코드인 SapphireStealer는 손상된 시스템에서 민감한 데이터를 추출하도록 설계된 간단하면서도 효과적인 기능 세트를 보유하고 있습니다. 그 기능은 다음과 같습니다:

• • 호스트 정보를 수집 중입니다.

• • 스크린샷을 캡처하는 중입니다.

• • 캐시된 브라우저 자격 증명을 수집합니다.

• • 미리 정의된 파일 확장자를 기반으로 감염된 시스템의 특정 파일을 식별하고 대상으로 지정합니다.

악성코드는 초기 실행 시 시스템에 활성 브라우저 프로세스가 있는지 확인하기 위해 검사를 수행합니다. 현재 실행 중인 프로세스 목록에서 chrome, yandex, msedge 및 Opera 프로세스 이름과 일치하는 항목을 검색합니다. 일치하는 프로세스가 발견되면 악성코드는 Process.Kill() 메서드를 사용하여 해당 프로세스를 종료합니다.

또한 이 악성코드는 하드코딩된 파일 경로 목록을 활용하여 Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browsers 등을 포함한 약 15개의 서로 다른 웹 브라우저와 관련된 자격 증명 데이터베이스의 존재를 탐지합니다.

이후 SapphireStealer는 손상된 시스템에서 스크린샷을 캡처하여 동일한 작업 디렉터리에 'Screenshot.png'라는 파일 이름으로 저장합니다. 데이터 수집 노력을 확장하기 위해 악성코드는 파일 그래버 구성 요소를 트리거하여 피해자의 데스크톱 폴더 내에서 미리 정의된 파일 확장자 목록과 일치하는 파일을 찾는 것을 목표로 합니다.

마지막으로, 도난당한 데이터는 메시지 작성 및 전송을 담당하는 코드 내에 지정된 필수 자격 증명과 함께 SMTP(Simple Mail Transfer Protocol)를 통해 공격자에게 전송됩니다.

SapphireStealer 변종은 사이버범죄자들에 의해 활발히 개발되고 있습니다

SapphireStealer는 다크 웹에서 점점 더 널리 퍼지고 있는 수많은 다른 데이터 수집 악성 코드 변종과 유사합니다. 그러나 차별화되는 점은 해당 소스 코드가 2022년 12월 말에 무료로 공개적으로 공개되었다는 사실입니다. 이로 인해 사기 관련 행위자가 악성 코드를 실험할 수 있게 되면서 탐지하기가 훨씬 더 어려워졌습니다. 결과적으로 그들은 Discord 웹훅이나 Telegram API를 활용하는 등 적응 가능한 데이터 유출 방법을 도입했습니다.

이 위협의 다양한 변형이 이미 표면화되었으며 위협 행위자는 시간이 지남에 따라 효율성과 효과를 지속적으로 개선하고 있습니다.

또한 악성코드 작성자는 공격자가 제어하는 서버에서 추가 바이너리 페이로드를 검색할 수 있는 코드명 FUD-Loader라는 .NET 악성코드 다운로더를 공개했습니다. 이 다운로더는 이미 DCRat, njRAT , DarkComet 및 Agent Tesla 와 같은 RAT(원격 액세스 트로이 목마) 위협을 전달하는 것으로 관찰되었습니다.