SapphireStealer-malware
Meerdere groepen maken gebruik van een open-source malware die informatie verzamelt, SapphireStealer genaamd, gebouwd op het .NET-framework, om hun mogelijkheden te versterken en aangepaste versies te maken. Cybersecurity-experts onthullen dat informatieverzamelende malware zoals SapphireStealer wordt gebruikt om kritieke gegevens te verzamelen, waaronder bedrijfsinloggegevens. Deze onrechtmatig verkregen inloggegevens worden vaak verkocht aan andere kwaadwillige actoren die ze uitbuiten om verdere aanvallen uit te voeren, variërend van spionage tot ransomware en afpersingsoperaties.
Dit type malware betekent niet alleen de vooruitgang van het cybercrime-as-a-service (CaaS)-model, maar biedt ook mogelijkheden voor andere fraudegerelateerde actoren om te profiteren van de gestolen gegevens door de distributie van ransomware te vergemakkelijken, gegevensdiefstal uit te voeren en in te grijpen bij diverse andere snode cyberactiviteiten.
SapphireStealer vangt verschillende gevoelige informatie op van aangetaste apparaten
SapphireStealer, een op .NET gebaseerde malware die informatie verzamelt, beschikt over een eenvoudige maar effectieve functieset die is ontworpen voor het extraheren van gevoelige gegevens uit gecompromitteerde systemen. De mogelijkheden omvatten:
-
- Hostinformatie verzamelen.
-
- Schermafbeeldingen maken.
-
- Verzamelen van in de cache opgeslagen browserreferenties.
-
- Het identificeren en targeten van specifieke bestanden op het geïnfecteerde systeem op basis van vooraf gedefinieerde bestandsextensies.
Bij de eerste uitvoering voert de malware een controle uit om de aanwezigheid van actieve browserprocessen op het systeem vast te stellen. Het scant de lijst met momenteel actieve processen op overeenkomsten met de volgende procesnamen: chrome, yandex, msedge en Opera. Als er overeenkomende processen worden gevonden, gebruikt de malware de Process.Kill()-methode om deze te beëindigen.
Bovendien maakt de malware gebruik van een hardgecodeerde lijst met bestandspaden om het bestaan van referentiedatabases te detecteren die zijn gekoppeld aan ongeveer 15 verschillende webbrowsers, waaronder Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browsers en meer.
Vervolgens probeert SapphireStealer een screenshot te maken van het aangetaste systeem en deze op te slaan in dezelfde werkmap onder de bestandsnaam 'Screenshot.png'. Om de inspanningen voor het verzamelen van gegevens uit te breiden, activeert de malware een bestandgrabber-component, met als doel bestanden in de bureaubladmap van het slachtoffer te lokaliseren die overeenkomen met een vooraf gedefinieerde lijst met bestandsextensies.
Ten slotte worden de gestolen gegevens via het Simple Mail Transfer Protocol (SMTP) naar de aanvaller verzonden, waarbij de vereiste inloggegevens worden gespecificeerd in de code die verantwoordelijk is voor het opstellen en verzenden van het bericht.
SapphireStealer-varianten worden actief ontwikkeld door cybercriminelen
SapphireStealer lijkt op tal van andere gegevensverzamelende malwaresoorten die steeds vaker voorkomen op het Dark Web. Wat het echter onderscheidt, is het feit dat de broncode eind december 2022 openlijk gratis werd vrijgegeven. Dit heeft fraudegerelateerde actoren in staat gesteld om met de malware te experimenteren, waardoor het aanzienlijk moeilijker wordt om het te detecteren. Als gevolg hiervan hebben ze aanpasbare data-exfiltratiemethoden geïntroduceerd, zoals het gebruik van een Discord-webhook of de Telegram API.
Talloze varianten van deze dreiging zijn al in het wild opgedoken, waarbij dreigingsactoren hun efficiëntie en effectiviteit in de loop van de tijd voortdurend verfijnen.
Bovendien heeft de malware-auteur een .NET-malware-downloader openbaar gemaakt, met de codenaam FUD-Loader, waarmee extra binaire payloads kunnen worden opgehaald van servers die door aanvallers worden beheerd. Deze downloader is al in actie waargenomen en levert Remote Access Trojan (RAT)-bedreigingen zoals DCRat, njRAT , DarkComet en Agent Tesla .
