SapphireStealer मालवेयर
धेरै समूहहरूले आफ्नो क्षमताहरूलाई बलियो बनाउन र अनुकूलित संस्करणहरू सिर्जना गर्न .NET ढाँचामा निर्मित SapphireStealer भनिने खुला स्रोत जानकारी सङ्कलन गर्ने मालवेयर प्रयोग गर्छन्। साइबरसुरक्षा विशेषज्ञहरूले खुलासा गर्छन् कि सूचना-संकलन गर्ने मालवेयर जस्तै SapphireStealer कर्पोरेट लगइन प्रमाणहरू सहित महत्वपूर्ण डेटा प्राप्त गर्न प्रयोग गरिन्छ। यी गलत-प्राप्त प्रमाणहरू बारम्बार अन्य खराब दिमाग भएका कलाकारहरूलाई बेचिन्छन् जसले तिनीहरूलाई जासुसीदेखि ransomware र जबरजस्ती अपरेशनहरू सम्मका थप आक्रमणहरू सुरु गर्न शोषण गर्छन्।
यस प्रकारको मालवेयरले साइबर क्राइम-एज-ए-सर्भिस (CaaS) मोडेलको प्रगतिलाई मात्र होइन तर अन्य ठगी-सम्बन्धित अभिनेताहरूलाई ransomware वितरण, डाटा चोरी गर्न, र संलग्नताको सुविधा दिएर चोरी गरिएको डेटाबाट लाभ उठाउने अवसरहरू पनि प्रदान गर्दछ। अन्य विभिन्न घृणित साइबर गतिविधिहरूमा।
SapphireStealer ले सम्झौता गरिएका यन्त्रहरूबाट विभिन्न संवेदनशील जानकारी क्याप्चर गर्छ
SapphireStealer, एक .NET-मा आधारित जानकारी-संकलन मालवेयर, एक सीधा तर प्रभावकारी सुविधा सेट छ जुन सम्झौता प्रणालीहरूबाट संवेदनशील डेटा निकाल्नको लागि डिजाइन गरिएको छ। यसको क्षमताहरू समावेश छन्:
-
- होस्ट जानकारी जम्मा गर्दै।
-
- स्क्रिनसटहरू खिच्दै।
-
- क्यास गरिएका ब्राउजर प्रमाणहरू काट्दै।
-
- पूर्वनिर्धारित फाइल विस्तारहरूमा आधारित संक्रमित प्रणालीमा विशिष्ट फाइलहरू पहिचान र लक्षित गर्दै।
यसको प्रारम्भिक कार्यान्वयनमा, मालवेयरले प्रणालीमा कुनै पनि सक्रिय ब्राउजर प्रक्रियाहरूको उपस्थिति निर्धारण गर्न जाँच गर्दछ। यसले निम्न प्रक्रिया नामहरूसँग मिल्दोहरूको लागि हाल चलिरहेको प्रक्रियाहरूको सूची स्क्यान गर्दछ: chrome, yandex, msedge र Opera। यदि कुनै मिल्दो प्रक्रियाहरू फेला पर्यो भने, मालवेयरले तिनीहरूलाई समाप्त गर्न Process.Kill() विधि प्रयोग गर्दछ।
यसबाहेक, मालवेयरले क्रोम, ओपेरा, यान्डेक्स, ब्रेभ ब्राउजर, माइक्रोसफ्ट एज, एटम ब्राउजरहरू र थप सहित लगभग 15 विभिन्न वेब ब्राउजरहरूसँग सम्बन्धित क्रेडेन्सियल डाटाबेसहरूको अस्तित्व पत्ता लगाउन फाइल पथहरूको हार्ड-कोड गरिएको सूची प्रयोग गर्दछ।
त्यसपछि, SapphireStealer ले सम्झौता गरिएको प्रणालीबाट स्क्रिनसट खिच्ने प्रयास गर्छ, यसलाई फाइलनाम 'Screenshot.png' अन्तर्गत समान कार्य निर्देशिकामा बचत गर्दै। यसको डेटा सङ्कलन प्रयासहरू विस्तार गर्न, मालवेयरले फाइल ग्राबर कम्पोनेन्ट ट्रिगर गर्दछ, जसले पीडितको डेस्कटप फोल्डर भित्र फाइलहरू पत्ता लगाउने लक्ष्य राख्छ जुन फाइल विस्तारहरूको पूर्वनिर्धारित सूचीसँग मेल खान्छ।
अन्तमा, सिम्पल मेल ट्रान्सफर प्रोटोकल (SMTP) मार्फत पिलफर्ड डाटा आक्रमणकर्तालाई पठाइन्छ, आवश्यक प्रमाणहरू सन्देश रचना र पठाउनको लागि जिम्मेवार कोड भित्र निर्दिष्ट गरिएको छ।
SapphireStealer संस्करणहरू साइबर अपराधीहरू द्वारा सक्रिय रूपमा विकसित भइरहेका छन्
SapphireStealer धेरै अन्य डाटा-संकलन मालवेयर स्ट्रेनहरूसँग मिल्दोजुल्दो छ जुन डार्क वेबमा बढ्दो रूपमा प्रचलित भएको छ। यद्यपि, यसको स्रोत कोड सन् २०२२ को डिसेम्बरको अन्त्यमा नि:शुल्क रूपमा जारी गरिएको तथ्य यो हो। यसले ठगी-सम्बन्धित कलाकारहरूलाई मालवेयर प्रयोग गर्न सशक्त बनाएको छ, जसले यसलाई पत्ता लगाउन निकै चुनौतीपूर्ण बनाएको छ। नतिजाको रूपमा, तिनीहरूले अनुकूलनीय डेटा एक्सफिल्ट्रेसन विधिहरू प्रस्तुत गरेका छन्, जस्तै डिस्कर्ड वेबहुक वा टेलिग्राम एपीआई।
यस खतराको धेरै भिन्नताहरू पहिले नै जंगलमा देखा परेका छन्, खतरा अभिनेताहरूले समयसँगै उनीहरूको दक्षता र प्रभावकारितालाई निरन्तर परिष्कृत गर्दैछन्।
थप रूपमा, मालवेयर लेखकले सार्वजनिक गरेको छ .NET मालवेयर डाउनलोडर, कोडनेम FUD-लोडर, जसले आक्रमणकर्ताहरूद्वारा नियन्त्रित सर्भरहरूबाट अतिरिक्त बाइनरी पेलोडहरू पुन: प्राप्त गर्न अनुमति दिन्छ। DCRat, njRAT , DarkComet र Agent Tesla जस्ता रिमोट एक्सेस ट्रोजन (RAT) धम्कीहरू प्रदान गर्दै यो डाउनलोडर पहिले नै कार्यमा अवलोकन गरिएको छ।
