„SapphireStealer“ kenkėjiška programa
Kelios grupės naudoja atvirojo kodo informaciją renkančią kenkėjišką programą SapphireStealer, sukurtą remiantis .NET sistema, kad sustiprintų savo galimybes ir sukurtų pritaikytas versijas. Kibernetinio saugumo ekspertai atskleidžia, kad informaciją renkančios kenkėjiškos programos, tokios kaip SapphireStealer, naudojamos norint gauti svarbius duomenis, įskaitant įmonės prisijungimo duomenis. Šie neteisėtai gauti įgaliojimai dažnai parduodami kitiems blogai mąstantiems veikėjams, kurie jais naudojasi tolimesniems išpuoliams pradėti nuo šnipinėjimo iki išpirkos reikalaujančių programų ir turto prievartavimo operacijų.
Šio tipo kenkėjiškos programos ne tik reiškia kibernetinio nusikaltimo kaip paslaugos (CaaS) modelio pažangą, bet ir suteikia galimybę kitiems su sukčiavimu susijusiems subjektams pasipelnyti iš pagrobtų duomenų, palengvinant išpirkos reikalaujančių programų platinimą, duomenų vagystes ir įtraukiant įvairiose kitose niekšiškose kibernetinėse veiklose.
„SapphireStealer“ fiksuoja įvairią jautrią informaciją iš pažeistų įrenginių
„SapphireStealer“, .NET pagrindu sukurta informacijos rinkimo kenkėjiška programa, turi paprastą, bet veiksmingą funkcijų rinkinį, skirtą jautriems duomenims iš pažeistų sistemų išgauti. Jo galimybės apima:
-
- Renkama šeimininko informacija.
-
- Ekrano kopijų fiksavimas.
-
- Talpykloje saugomų naršyklės kredencialų rinkimas.
-
- Konkrečių užkrėstoje sistemoje esančių failų identifikavimas ir nukreipimas pagal iš anksto nustatytus failų plėtinius.
Pradinio vykdymo metu kenkėjiška programa atlieka patikrinimą, kad nustatytų, ar sistemoje yra aktyvių naršyklės procesų. Jis nuskaito šiuo metu vykdomų procesų sąrašą, ar nėra atitikčių šiais procesų pavadinimais: chrome, yandex, msedge ir Opera. Jei randami atitinkantys procesai, kenkėjiška programa naudoja Process.Kill() metodą, kad juos nutrauktų.
Be to, kenkėjiška programa naudoja sunkiai užkoduotą failų kelių sąrašą, kad nustatytų kredencialų duomenų bazių, susietų su maždaug 15 skirtingų žiniatinklio naršyklių, įskaitant „Chrome“, „Opera“, „Yandex“, „Brave Browser“, „Microsoft Edge“, „Atom Browsers“ ir kt., egzistavimą.
Vėliau „SapphireStealer“ stengiasi užfiksuoti ekrano kopiją iš pažeistos sistemos ir išsaugo ją tame pačiame darbiniame kataloge failo pavadinimu „Screenshot.png“. Siekdama išplėsti duomenų rinkimo pastangas, kenkėjiška programa suaktyvina failų paėmimo komponentą, kurio tikslas – aukos darbalaukio aplanke rasti failus, atitinkančius iš anksto nustatytą failų plėtinių sąrašą.
Galiausiai apiplėšti duomenys perduodami užpuolikui per paprastą pašto perdavimo protokolą (SMTP), o reikalingi kredencialai nurodomi kode, atsakingame už pranešimo sudarymą ir siuntimą.
„SapphireStealer“ variantus aktyviai kuria kibernetiniai nusikaltėliai
„SapphireStealer“ primena daugybę kitų duomenis renkančių kenkėjiškų programų padermių, kurios vis labiau plinta „Dark Web“. Tačiau jį išskiria tai, kad 2022 m. gruodžio pabaigoje jo šaltinio kodas buvo atvirai išleistas nemokamai. Dėl to su sukčiavimu susiję veikėjai gali eksperimentuoti su kenkėjiška programa, todėl ją aptikti tapo daug sudėtingiau. Todėl jie pristatė pritaikomus duomenų išfiltravimo metodus, tokius kaip „Discord Webhook“ arba „Telegram“ API.
Laukinėje gamtoje jau atsirado daugybė šios grėsmės variantų, o grėsmės veikėjai laikui bėgant nuolat tobulina savo efektyvumą ir efektyvumą.
Be to, kenkėjiškų programų autorius paviešino .NET kenkėjiškų programų parsisiuntimo programą, kodiniu pavadinimu FUD-Loader, kuri leidžia gauti papildomų dvejetainių naudingųjų apkrovų iš užpuolikų valdomų serverių. Šis atsisiuntimo įrankis jau buvo pastebėtas veikiant ir pateikia nuotolinės prieigos Trojos arklys (RAT) grėsmes, tokias kaip DCRat, njRAT , DarkComet ir Agent Tesla .
