SapphireStealer ļaunprātīga programmatūra

Vairākas grupas izmanto atklātā pirmkoda informācijas vākšanas ļaunprogrammatūru SapphireStealer, kas izveidota uz .NET ietvara, lai stiprinātu savas iespējas un izveidotu pielāgotas versijas. Kiberdrošības eksperti atklāj, ka informācijas vākšanas ļaunprātīga programmatūra, piemēram, SapphireStealer, tiek izmantota, lai iegūtu svarīgus datus, tostarp uzņēmuma pieteikšanās akreditācijas datus. Šie nelikumīgi iegūtie akreditācijas dati bieži tiek pārdoti citiem slikti domājošiem dalībniekiem, kuri tos izmanto, lai sāktu turpmākus uzbrukumus, sākot no spiegošanas līdz izspiedējvīrusu un izspiešanas operācijām.

Šāda veida ļaunprātīga programmatūra ne tikai norāda uz kibernoziedzības kā pakalpojuma (CaaS) modeļa attīstību, bet arī sniedz iespēju citiem ar krāpšanu saistītiem dalībniekiem gūt peļņu no izzagtajiem datiem, veicinot izspiedējvīrusu izplatīšanu, datu zādzību un iesaistīšanos. dažādās citās nelietīgās kiberdarbībās.

SapphireStealer tver dažādu sensitīvu informāciju no apdraudētām ierīcēm

SapphireStealer, uz .NET balstītai informācijas vākšanas ļaunprogrammatūrai, ir vienkārša, taču efektīva funkciju kopa, kas paredzēta sensitīvu datu iegūšanai no apdraudētām sistēmām. Tās iespējas ietver:

• • Saimnieka informācijas vākšana.

• • Ekrānuzņēmumu tveršana.

• • Kešatmiņā saglabāto pārlūkprogrammas akreditācijas datu iegūšana.

• • Konkrētu failu identificēšana un mērķauditorijas atlase inficētajā sistēmā, pamatojoties uz iepriekš definētiem failu paplašinājumiem.

Pēc sākotnējās izpildes ļaunprogrammatūra veic pārbaudi, lai noteiktu, vai sistēmā ir kādi aktīvi pārlūkprogrammas procesi. Tas skenē pašlaik darbojošos procesu sarakstu, lai atrastu atbilstības ar šādiem procesu nosaukumiem: chrome, yandex, msedge un Opera. Ja tiek atrasti atbilstoši procesi, ļaunprogrammatūra izmanto metodi Process.Kill(), lai tos pārtrauktu.

Turklāt ļaunprogrammatūra izmanto cieti kodētu failu ceļu sarakstu, lai noteiktu akreditācijas datu datu bāzes, kas saistītas ar aptuveni 15 dažādām tīmekļa pārlūkprogrammām, tostarp Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browsers un citām.

Pēc tam SapphireStealer cenšas tvert ekrānuzņēmumu no apdraudētās sistēmas, saglabājot to tajā pašā darba direktorijā ar faila nosaukumu 'Screenshot.png'. Lai paplašinātu datu vākšanas centienus, ļaunprogrammatūra iedarbina failu pārtvērēja komponentu, kura mērķis ir upura darbvirsmas mapē atrast failus, kas atbilst iepriekš noteiktam failu paplašinājumu sarakstam.

Visbeidzot, nozagtie dati tiek pārsūtīti uzbrucējam, izmantojot vienkāršo pasta pārsūtīšanas protokolu (SMTP), un nepieciešamie akreditācijas dati ir norādīti kodā, kas ir atbildīgs par ziņojuma izveidi un nosūtīšanu.

SapphireStealer variantus aktīvi izstrādā kibernoziedznieki

SapphireStealer atgādina daudzus citus datu vākšanas ļaunprātīgas programmatūras celmus, kas ir kļuvuši arvien izplatītāki tumšajā tīmeklī. Tomēr to atšķir fakts, ka tā pirmkods tika atklāti bez maksas izlaists 2022. gada decembra beigās. Tas ir devis iespēju ar krāpšanu saistītiem dalībniekiem eksperimentēt ar ļaunprātīgu programmatūru, padarot to ievērojami grūtāk atklāt. Rezultātā viņi ir ieviesuši pielāgojamas datu eksfiltrācijas metodes, piemēram, izmantojot Discord tīmekļa aizķeri vai Telegram API.

Savvaļā jau ir parādījušies daudzi šī apdraudējuma varianti, un apdraudējuma dalībnieki laika gaitā pastāvīgi uzlabo savu efektivitāti un efektivitāti.

Turklāt ļaunprātīgas programmatūras autors ir publiskojis .NET ļaunprātīgas programmatūras lejupielādētāju ar koda nosaukumu FUD-Loader, kas ļauj izgūt papildu bināro slodzi no uzbrucēju kontrolētiem serveriem. Šis lejupielādētājs jau ir novērots darbībā, nodrošinot attālās piekļuves Trojas (RAT) draudus, piemēram, DCRat, njRAT , DarkComet un Agent Tesla .