SapphireStealer Malware

Vários grupos empregam um malware de coleta de informações de código aberto chamado SapphireStealer, construído na estrutura .NET, para reforçar suas capacidades e criar versões personalizadas. Especialistas em segurança cibernética revelam que malware que coleta informações, como o SapphireStealer, é empregado para adquirir dados críticos, incluindo credenciais de login corporativo. Estas credenciais ilícitas são frequentemente vendidas a outros intervenientes mal intencionados que as exploram para lançar novos ataques, que vão desde espionagem a operações de ransomware e extorsão.

Este tipo de malware não só significa o avanço do modelo de crime cibernético como serviço (CaaS), mas também oferece oportunidades para outros atores relacionados à fraude lucrar com os dados furtados, facilitando a distribuição de ransomware, realizando roubo de dados e engajando em várias outras atividades cibernéticas nefastas.

O SapphireStealer Captura Várias Informações Confidenciais de Dispositivos Comprometidos

O SapphireStealer, um malware de coleta de informações baseado em .NET, possui um conjunto de recursos simples, porém eficaz, projetado para extrair dados confidenciais de sistemas comprometidos. Suas capacidades incluem:

• • Coletando informações do anfitrião.

• • Capturando capturas de tela.

• • Coletando credenciais do navegador em cache.

• • Identificação e direcionamento de arquivos específicos no sistema infectado com base em extensões de arquivo predefinidas.

Após sua execução inicial, o malware realiza uma verificação para determinar a presença de quaisquer processos ativos do navegador no sistema. Ele verifica a lista de processos atualmente em execução em busca de correspondências com os seguintes nomes de processos: chrome, yandex, msedge e Opera. Se algum processo correspondente for encontrado, o malware emprega o método Process.Kill() para encerrá-lo.

Além disso, o malware utiliza uma lista codificada de caminhos de arquivo para detectar a existência de bancos de dados de credenciais associados a aproximadamente 15 navegadores da Web diferentes, incluindo Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browsers e muito mais.

Posteriormente, o SapphireStealer tenta capturar uma captura de tela do sistema comprometido, salvando-a no mesmo diretório de trabalho com o nome de arquivo ‘Screenshot.png’. Para expandir seus esforços de coleta de dados, o malware aciona um componente de captura de arquivos, com o objetivo de localizar arquivos na pasta Desktop da vítima que correspondam a uma lista predefinida de extensões de arquivo.

Por fim, os dados furtados são transmitidos ao invasor por meio do Simple Mail Transfer Protocol (SMTP), sendo as credenciais necessárias especificadas no código responsável por redigir e enviar a mensagem.

Variantes do SapphireStealer estão sendo Desenvolvidas Ativamente pelos Cibercriminosos

O SapphireStealer se assemelha a vários outros tipos de malware de coleta de dados que se tornaram cada vez mais predominantes na Dark Web. No entanto, o que o diferencia é o facto de o seu código-fonte ter sido divulgado abertamente e gratuitamente no final de dezembro de 2022. Isto permitiu que os atores relacionados com a fraude experimentassem o malware, tornando-o consideravelmente mais difícil de detetar. Como resultado, eles introduziram métodos adaptáveis de exfiltração de dados, como aproveitar um webhook do Discord ou a API do Telegram.

Numerosas variações desta ameaça já surgiram, com os agentes da ameaça refinando continuamente a sua eficiência e eficácia ao longo do tempo.

Além disso, o autor do malware tornou público um downloader de malware .NET, codinome FUD-Loader, que permite a recuperação de cargas binárias adicionais de servidores controlados por invasores. Este downloader já foi observado em ação, entregando ameaças de Trojan de acesso remoto (RAT), como DCRat, njRAT, DarkComet e Agent Tesla.