Złośliwe oprogramowanie SapphireStealer

Wiele grup wykorzystuje złośliwe oprogramowanie typu open source do gromadzenia informacji o nazwie SapphireStealer, zbudowane na platformie .NET, aby zwiększyć swoje możliwości i tworzyć niestandardowe wersje. Eksperci ds. cyberbezpieczeństwa ujawniają, że złośliwe oprogramowanie gromadzące informacje, takie jak SapphireStealer, jest wykorzystywane do zdobywania kluczowych danych, w tym danych logowania do firmy. Te nieuczciwie zdobyte dane uwierzytelniające są często sprzedawane innym źle myślącym podmiotom, które wykorzystują je do przeprowadzania dalszych ataków, począwszy od szpiegostwa po oprogramowanie ransomware i operacje wymuszenia.

Ten rodzaj złośliwego oprogramowania nie tylko oznacza rozwój modelu cyberprzestępczości jako usługi (CaaS), ale także zapewnia innym podmiotom zajmującym się oszustwami możliwości czerpania zysków ze skradzionych danych poprzez ułatwianie dystrybucji oprogramowania ransomware, dokonywanie kradzieży danych i angażowanie w różnych innych nikczemnych działaniach cybernetycznych.

SapphireStealer przechwytuje różne wrażliwe informacje z zaatakowanych urządzeń

SapphireStealer, szkodliwe oprogramowanie gromadzące informacje w oparciu o platformę .NET, posiada prosty, ale skuteczny zestaw funkcji zaprojektowanych do wydobywania wrażliwych danych z zaatakowanych systemów. Jego możliwości obejmują:

• • Zbieranie informacji o gospodarzu.

• • Przechwytywanie zrzutów ekranu.

• • Zbieranie danych uwierzytelniających przeglądarki z pamięci podręcznej.

• • Identyfikowanie i atakowanie określonych plików w zainfekowanym systemie w oparciu o predefiniowane rozszerzenia plików.

Po pierwszym uruchomieniu szkodliwe oprogramowanie sprawdza obecność w systemie aktywnych procesów przeglądarki. Skanuje listę aktualnie uruchomionych procesów w poszukiwaniu dopasowań z następującymi nazwami procesów: chrome, yandex, msedge i Opera. Jeśli zostaną znalezione jakieś pasujące procesy, szkodliwe oprogramowanie wykorzystuje metodę Process.Kill() w celu ich zakończenia.

Co więcej, złośliwe oprogramowanie wykorzystuje zakodowaną na stałe listę ścieżek plików do wykrywania istnienia baz danych uwierzytelniających powiązanych z około 15 różnymi przeglądarkami internetowymi, w tym Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browsers i innymi.

Następnie SapphireStealer próbuje przechwycić zrzut ekranu z zaatakowanego systemu, zapisując go w tym samym katalogu roboczym pod nazwą pliku „Screenshot.png”. Aby zwiększyć zakres gromadzenia danych, szkodliwe oprogramowanie uruchamia komponent przechwytujący pliki, którego celem jest zlokalizowanie plików w folderze Pulpit ofiary, które odpowiadają wstępnie zdefiniowanej liście rozszerzeń plików.

Na koniec wykradzione dane są przesyłane do atakującego za pośrednictwem protokołu SMTP (Simple Mail Transfer Protocol), przy czym wymagane dane uwierzytelniające są określone w kodzie odpowiedzialnym za tworzenie i wysyłanie wiadomości.

Warianty SapphireStealer są aktywnie rozwijane przez cyberprzestępców

SapphireStealer przypomina wiele innych odmian złośliwego oprogramowania gromadzącego dane, które stają się coraz bardziej powszechne w Dark Web. Jednak tym, co go wyróżnia, jest fakt, że jego kod źródłowy został bezpłatnie udostępniony pod koniec grudnia 2022 r. Umożliwiło to podmiotom zajmującym się oszustwami eksperymentowanie ze złośliwym oprogramowaniem, co znacznie utrudnia jego wykrycie. W rezultacie wprowadzili elastyczne metody eksfiltracji danych, takie jak wykorzystanie webhooka Discord lub API Telegramu.

Liczne odmiany tego zagrożenia pojawiły się już na wolności, a cyberprzestępcy z biegiem czasu stale udoskonalają swoją skuteczność i skuteczność.

Ponadto autor szkodliwego oprogramowania udostępnił narzędzie do pobierania szkodliwego oprogramowania dla platformy .NET o nazwie kodowej FUD-Loader, które umożliwia pobieranie dodatkowych ładunków binarnych z serwerów kontrolowanych przez osoby atakujące. Zaobserwowano już ten program pobierający w działaniu, dostarczający zagrożenia typu trojan dostępu zdalnego (RAT), takie jak DCRat, njRAT , DarkComet i Agent Tesla .