Вредоносное ПО SapphireStealer

Несколько групп используют вредоносное ПО с открытым исходным кодом для сбора информации под названием SapphireStealer, построенное на платформе .NET, чтобы расширить свои возможности и создать индивидуальные версии. Эксперты по кибербезопасности сообщают, что вредоносное ПО для сбора информации, такое как SapphireStealer, используется для получения критически важных данных, включая корпоративные учетные данные для входа. Эти нечестно полученные учетные данные часто продаются другим злонамеренным субъектам, которые используют их для проведения дальнейших атак, начиная от шпионажа и заканчивая операциями по вымогательству и вымогательству.

Этот тип вредоносного ПО не только означает развитие модели «киберпреступность как услуга» (CaaS), но также предоставляет возможность другим участникам мошенничества получать прибыль от украденных данных, способствуя распространению программ-вымогателей, осуществляя кражу данных и привлекая в различных других гнусных кибердеятельности.

SapphireStealer собирает различную конфиденциальную информацию со взломанных устройств

SapphireStealer, вредоносное ПО для сбора информации на базе .NET, обладает простым, но эффективным набором функций, предназначенным для извлечения конфиденциальных данных из скомпрометированных систем. Его возможности включают в себя:

• • Сбор информации о хосте.

• • Захват скриншотов.

• • Сбор кэшированных учетных данных браузера.

• • Идентификация и нацеливание на определенные файлы в зараженной системе на основе предопределенных расширений файлов.

При первом запуске вредоносная программа проводит проверку на наличие в системе каких-либо активных процессов браузера. Он сканирует список запущенных в данный момент процессов на наличие совпадений со следующими именами процессов: chrome, yandex, msedge и Opera. Если обнаружены какие-либо соответствующие процессы, вредоносная программа использует метод Process.Kill() для их завершения.

Кроме того, вредоносное ПО использует жестко запрограммированный список путей к файлам для обнаружения существования баз данных учетных данных, связанных примерно с 15 различными веб-браузерами, включая Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browsers и другие.

Впоследствии SapphireStealer пытается сделать снимок экрана скомпрометированной системы и сохраняет его в том же рабочем каталоге под именем «Screenshot.png». Чтобы расширить свои усилия по сбору данных, вредоносная программа запускает компонент захвата файлов, стремящийся найти в папке на рабочем столе жертвы файлы, соответствующие заранее определенному списку расширений файлов.

Наконец, украденные данные передаются злоумышленнику через простой протокол передачи почты (SMTP), при этом необходимые учетные данные указываются в коде, ответственном за составление и отправку сообщения.

Варианты SapphireStealer активно разрабатываются киберпреступниками

SapphireStealer напоминает множество других вредоносных программ для сбора данных, которые становятся все более распространенными в даркнете. Однако его отличает тот факт, что его исходный код был открыто выпущен бесплатно в конце декабря 2022 года. Это позволило участникам мошенничества экспериментировать с вредоносным ПО, что значительно усложнило его обнаружение. В результате они представили адаптируемые методы кражи данных, такие как использование веб-перехватчика Discord или Telegram API.

Многочисленные варианты этой угрозы уже появились в природе, и субъекты угроз постоянно совершенствуют свою эффективность и действенность с течением времени.

Кроме того, автор вредоносного ПО обнародовал загрузчик вредоносного ПО .NET под кодовым названием FUD-Loader, который позволяет извлекать дополнительные двоичные полезные данные с серверов, контролируемых злоумышленниками. Этот загрузчик уже наблюдался в действии, доставляя троянские программы удаленного доступа (RAT), такие как DCRat, njRAT , DarkComet и Agent Tesla .