Perisian Hasad SapphireStealer

Berbilang kumpulan menggunakan perisian hasad pengumpul maklumat sumber terbuka yang dipanggil SapphireStealer, dibina pada rangka kerja .NET, untuk meningkatkan keupayaan mereka dan mencipta versi tersuai. Pakar keselamatan siber mendedahkan bahawa perisian hasad pengumpul maklumat seperti SapphireStealer digunakan untuk memperoleh data kritikal, termasuk kelayakan log masuk korporat. Tauliah yang diperoleh secara haram ini sering dijual kepada pelakon jahat lain yang mengeksploitasinya untuk melancarkan serangan selanjutnya, daripada pengintipan kepada perisian tebusan dan operasi pemerasan.

Jenis perisian hasad ini bukan sahaja menandakan kemajuan model jenayah siber-sebagai-perkhidmatan (CaaS) tetapi juga memberi peluang kepada pelaku lain yang berkaitan dengan penipuan untuk mendapat keuntungan daripada data yang dicuri dengan memudahkan pengedaran perisian tebusan, menjalankan kecurian data dan melibatkan diri. dalam pelbagai aktiviti siber jahat yang lain.

SapphireStealer Menangkap Pelbagai Maklumat Sensitif daripada Peranti Yang Dikompromi

SapphireStealer, perisian hasad pengumpul maklumat berasaskan .NET, mempunyai set ciri yang mudah tetapi berkesan yang direka untuk mengekstrak data sensitif daripada sistem yang terjejas. Keupayaannya termasuk:

• • Mengumpul maklumat tuan rumah.

• • Menangkap tangkapan skrin.

• • Menuai bukti kelayakan penyemak imbas cache.

• • Mengenal pasti dan menyasarkan fail tertentu pada sistem yang dijangkiti berdasarkan sambungan fail yang dipratentukan.

Selepas pelaksanaan awalnya, perisian hasad menjalankan semakan untuk menentukan kehadiran sebarang proses penyemak imbas yang aktif pada sistem. Ia mengimbas senarai proses yang sedang dijalankan untuk padanan dengan nama proses berikut: chrome, yandex, msedge dan Opera. Jika sebarang proses sepadan ditemui, perisian hasad menggunakan kaedah Process.Kill() untuk menamatkannya.

Tambahan pula, perisian hasad menggunakan senarai laluan fail berkod keras untuk mengesan kewujudan pangkalan data kelayakan yang dikaitkan dengan kira-kira 15 penyemak imbas Web yang berbeza, termasuk Chrome, Opera, Yandex, Pelayar Berani, Microsoft Edge, Pelayar Atom dan banyak lagi.

Selepas itu, SapphireStealer berusaha untuk menangkap tangkapan skrin daripada sistem yang terjejas, menyimpannya dalam direktori kerja yang sama di bawah nama fail 'Screenshot.png.' Untuk mengembangkan usaha pengumpulan datanya, perisian hasad mencetuskan komponen perebut fail, bertujuan untuk mencari fail dalam folder Desktop mangsa yang sepadan dengan senarai sambungan fail yang dipratentukan.

Akhir sekali, data yang dicuri dihantar kepada penyerang melalui Simple Mail Transfer Protocol (SMTP), dengan kelayakan yang diperlukan ditentukan dalam kod yang bertanggungjawab untuk mengarang dan menghantar mesej.

Varian SapphireStealer Sedang Dibangunkan Secara Aktif oleh Penjenayah Siber

SapphireStealer menyerupai pelbagai jenis perisian hasad pengumpul data lain yang semakin berleluasa di Web Gelap. Walau bagaimanapun, apa yang membezakannya ialah hakikat bahawa kod sumbernya telah dikeluarkan secara terbuka secara percuma pada akhir Disember 2022. Ini telah memberi kuasa kepada pelakon yang berkaitan dengan penipuan untuk bereksperimen dengan perisian hasad, menjadikannya lebih mencabar untuk dikesan. Akibatnya, mereka telah memperkenalkan kaedah pemerasan data yang boleh disesuaikan, seperti memanfaatkan webhook Discord atau API Telegram.

Pelbagai variasi ancaman ini telah pun muncul di alam liar, dengan pelaku ancaman terus memperhalusi kecekapan dan keberkesanan mereka dari semasa ke semasa.

Selain itu, pengarang perisian hasad telah mendedahkan pemuat turun perisian hasad .NET kepada umum, dengan nama kod FUD-Loader, yang membolehkan untuk mendapatkan semula muatan binari tambahan daripada pelayan yang dikawal oleh penyerang. Pemuat turun ini telah diperhatikan dalam tindakan, menyampaikan ancaman Trojan Akses Jauh (RAT) seperti DCRat, njRAT , DarkComet dan Ejen Tesla .