SapphireStealer skadelig programvare

Flere grupper bruker en åpen kildekode for informasjonsinnhenting av skadelig programvare kalt SapphireStealer, bygget på .NET-rammeverket, for å styrke sine evner og lage tilpassede versjoner. Eksperter på nettsikkerhet avslører at skadelig programvare som samler inn informasjon, som SapphireStealer, brukes til å skaffe kritiske data, inkludert bedriftspåloggingsinformasjon. Disse dårlig hentede legitimasjonene selges ofte til andre dårlige aktører som utnytter dem til å starte ytterligere angrep, alt fra spionasje til løsepengevare og utpressingsoperasjoner.

Denne typen skadelig programvare betyr ikke bare fremgangen av cybercrime-as-a-service (CaaS)-modellen, men gir også muligheter for andre svindelrelaterte aktører til å tjene på de stjålne dataene ved å lette distribusjon av løsepengevare, utføre datatyveri og engasjere seg. i forskjellige andre ufarlige cyberaktiviteter.

SapphireStealer fanger opp forskjellig sensitiv informasjon fra kompromitterte enheter

SapphireStealer, en .NET-basert informasjonsinnhentende skadelig programvare, har et enkelt, men effektivt funksjonssett designet for å trekke ut sensitive data fra kompromitterte systemer. Dens evner inkluderer:

• • Innhenting av vertsinformasjon.

• • Tar skjermbilder.

• • Innsamling av bufret nettleserlegitimasjon.

• • Identifisere og målrette spesifikke filer på det infiserte systemet basert på forhåndsdefinerte filutvidelser.

Ved den første kjøringen utfører skadelig programvare en sjekk for å fastslå tilstedeværelsen av aktive nettleserprosesser på systemet. Den skanner listen over kjørende prosesser for treff med følgende prosessnavn: chrome, yandex, msedge og Opera. Hvis noen samsvarende prosesser blir funnet, bruker skadelig programvare Process.Kill()-metoden for å avslutte dem.

Videre bruker skadelig programvare en hardkodet liste over filbaner for å oppdage eksistensen av legitimasjonsdatabaser knyttet til omtrent 15 forskjellige nettlesere, inkludert Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom-nettlesere og mer.

Deretter forsøker SapphireStealer å ta et skjermbilde fra det kompromitterte systemet, og lagre det i samme arbeidskatalog under filnavnet 'Screenshot.png.' For å utvide datainnsamlingsarbeidet, utløser skadelig programvare en filfanger-komponent, som tar sikte på å finne filer i offerets skrivebordsmappe som samsvarer med en forhåndsdefinert liste over filutvidelser.

Til slutt blir de stjålne dataene overført til angriperen via Simple Mail Transfer Protocol (SMTP), med den nødvendige legitimasjonen spesifisert i koden som er ansvarlig for å komponere og sende meldingen.

SapphireStealer-varianter blir aktivt utviklet av nettkriminelle

SapphireStealer ligner en rekke andre datainnsamlende malware-stammer som har blitt stadig mer utbredt på Dark Web. Det som imidlertid skiller den fra hverandre er det faktum at kildekoden ble åpent utgitt gratis i slutten av desember 2022. Dette har gitt svindelrelaterte aktører mulighet til å eksperimentere med skadelig programvare, noe som gjør den betydelig mer utfordrende å oppdage. Som et resultat har de introdusert tilpasningsdyktige dataeksfiltreringsmetoder, for eksempel å utnytte en Discord webhook eller Telegram API.

Tallrike varianter av denne trusselen har allerede dukket opp i naturen, med trusselaktører som kontinuerlig forbedrer sin effektivitet og effektivitet over tid.

I tillegg har skadevareforfatteren offentliggjort en .NET-malware-nedlaster, kodenavnet FUD-Loader, som gjør det mulig å hente ytterligere binære nyttelaster fra servere kontrollert av angripere. Denne nedlasteren har allerede blitt observert i aksjon, og leverer trusler fra Remote Access Trojan (RAT) som DCRat, njRAT , DarkComet og Agent Tesla .