SapphireStealer Malware

Mai multe grupuri folosesc un program malware de colectare de informații open-source numit SapphireStealer, construit pe framework-ul .NET, pentru a-și consolida capacitățile și a crea versiuni personalizate. Experții în securitate cibernetică dezvăluie că programele malware de colectare a informațiilor, cum ar fi SapphireStealer, sunt folosite pentru a obține date critice, inclusiv acreditările de conectare corporative. Aceste acreditări prost obținute sunt adesea vândute altor actori neînțelepți care le exploatează pentru a lansa alte atacuri, de la spionaj la ransomware și operațiuni de extorcare.

Acest tip de malware nu numai că semnifică avansarea modelului cybercrime-as-a-service (CaaS), dar oferă și oportunități pentru alți actori legați de fraudă de a profita de pe urma datelor furate prin facilitarea distribuirii de ransomware, furtul de date și implicarea. în diverse alte activități cibernetice nefaste.

SapphireStealer captează diverse informații sensibile de la dispozitive compromise

SapphireStealer, un program malware de colectare de informații bazat pe .NET, posedă un set de funcții simplu, dar eficient, conceput pentru extragerea datelor sensibile din sistemele compromise. Capacitățile sale includ:

• • Colectarea informațiilor despre gazdă.

• • Captură de capturi de ecran.

• • Recoltarea acreditărilor de browser stocate în cache.

• • Identificarea și direcționarea anumitor fișiere de pe sistemul infectat pe baza extensiilor de fișiere predefinite.

La execuția sa inițială, malware-ul efectuează o verificare pentru a determina prezența oricăror procese active de browser în sistem. Scanează lista proceselor care rulează în prezent pentru potriviri cu următoarele nume de proces: chrome, yandex, msedge și Opera. Dacă sunt găsite procese care se potrivesc, malware-ul folosește metoda Process.Kill() pentru a le termina.

Mai mult, programul malware utilizează o listă codificată de căi de fișiere pentru a detecta existența bazelor de date de acreditări asociate cu aproximativ 15 browsere web diferite, inclusiv Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browsere și multe altele.

Ulterior, SapphireStealer se străduiește să captureze o captură de ecran din sistemul compromis, salvând-o în același director de lucru sub numele de fișier „Screenshot.png”. Pentru a-și extinde eforturile de colectare a datelor, malware-ul declanșează o componentă de captare a fișierelor, cu scopul de a localiza fișiere în folderul Desktop al victimei care se potrivesc cu o listă predefinită de extensii de fișiere.

În cele din urmă, datele furate sunt transmise atacatorului prin protocolul SMTP (Simple Mail Transfer Protocol), acreditările necesare fiind specificate în codul responsabil de compunerea și trimiterea mesajului.

Variantele SapphireStealer sunt dezvoltate activ de infractorii cibernetici

SapphireStealer seamănă cu numeroase alte tipuri de malware care colectează date, care au devenit din ce în ce mai răspândite pe Dark Web. Cu toate acestea, ceea ce îl diferențiază este faptul că codul său sursă a fost lansat gratuit în mod deschis la sfârșitul lunii decembrie 2022. Acest lucru a permis actorilor implicați în fraudă să experimenteze cu malware-ul, făcându-l considerabil mai dificil de detectat. Drept urmare, au introdus metode adaptabile de exfiltrare a datelor, cum ar fi utilizarea unui webhook Discord sau API-ul Telegram.

Numeroase variante ale acestei amenințări au apărut deja în sălbăticie, actorii amenințărilor și-au perfecționat continuu eficiența și eficacitatea în timp.

În plus, autorul de malware a făcut public un program de descărcare de malware .NET, cu numele de cod FUD-Loader, care permite preluarea încărcăturilor binare suplimentare de pe serverele controlate de atacatori. Acest program de descărcare a fost deja observat în acțiune, oferind amenințări troiene cu acces la distanță (RAT) precum DCRat, njRAT , DarkComet și Agent Tesla .