Zlonamerna programska oprema SapphireStealer

Več skupin uporablja odprtokodno zlonamerno programsko opremo za zbiranje informacij, imenovano SapphireStealer, zgrajeno na ogrodju .NET, da izboljša svoje zmogljivosti in ustvari prilagojene različice. Strokovnjaki za kibernetsko varnost razkrivajo, da se zlonamerna programska oprema za zbiranje informacij, kot je SapphireStealer, uporablja za pridobivanje kritičnih podatkov, vključno s poverilnicami za prijavo podjetja. Te nezakonito pridobljene poverilnice se pogosto prodajo drugim slaboumnim akterjem, ki jih izkoristijo za nadaljnje napade, od vohunjenja do izsiljevalske programske opreme in izsiljevanja.

Ta vrsta zlonamerne programske opreme ne pomeni le napredka modela kibernetske kriminalitete kot storitve (CaaS), ampak tudi ponuja priložnosti drugim akterjem, povezanim z goljufijami, da dobijo dobiček od ukradenih podatkov, tako da olajšajo distribucijo izsiljevalske programske opreme, izvajajo krajo podatkov in vključujejo v različnih drugih nečednih kibernetskih dejavnostih.

SapphireStealer zajame različne občutljive podatke iz ogroženih naprav

SapphireStealer, zlonamerna programska oprema za zbiranje informacij, ki temelji na .NET, ima preprost, a učinkovit nabor funkcij, zasnovan za pridobivanje občutljivih podatkov iz ogroženih sistemov. Njegove zmogljivosti vključujejo:

• • Zbiranje informacij o gostitelju.

• • Zajemanje posnetkov zaslona.

• • Zbiranje predpomnjenih poverilnic brskalnika.

• • Prepoznavanje in ciljanje določenih datotek v okuženem sistemu na podlagi vnaprej določenih končnic datotek.

Po začetnem zagonu zlonamerna programska oprema izvede preverjanje, da ugotovi prisotnost kakršnih koli aktivnih procesov brskalnika v sistemu. Pregleduje seznam trenutno delujočih procesov za ujemanje z naslednjimi imeni procesov: chrome, yandex, msedge in Opera. Če so najdeni ujemajoči se procesi, zlonamerna programska oprema uporabi metodo Process.Kill(), da jih prekine.

Poleg tega zlonamerna programska oprema uporablja trdo kodiran seznam poti datotek za odkrivanje obstoja podatkovnih zbirk poverilnic, povezanih s približno 15 različnimi spletnimi brskalniki, vključno s Chromom, Opera, Yandex, Brave Browser, Microsoft Edge, brskalniki Atom in drugimi.

Nato si SapphireStealer prizadeva zajeti posnetek zaslona iz ogroženega sistema in ga shrani v isti delovni imenik pod imenom datoteke 'Screenshot.png.' Da bi razširila svoja prizadevanja za zbiranje podatkov, zlonamerna programska oprema sproži komponento za zajem datotek, katere cilj je poiskati datoteke v mapi namizja žrtve, ki se ujemajo z vnaprej določenim seznamom končnic datotek.

Nazadnje se ukradeni podatki posredujejo napadalcu prek protokola Simple Mail Transfer Protocol (SMTP), pri čemer so zahtevane poverilnice določene v kodi, odgovorni za sestavljanje in pošiljanje sporočila.

Različice SapphireStealer aktivno razvijajo kibernetski kriminalci

SapphireStealer je podoben številnim drugim različicam zlonamerne programske opreme za zbiranje podatkov, ki postajajo vse bolj razširjene v temnem spletu. Vendar pa ga loči dejstvo, da je bila njegova izvorna koda javno objavljena brezplačno konec decembra 2022. To je akterjem, povezanim z goljufijami, omogočilo eksperimentiranje z zlonamerno programsko opremo, zaradi česar jo je veliko težje odkriti. Posledično so uvedli prilagodljive metode izločanja podatkov, kot je uporaba spletnega trnka Discord ali API-ja Telegram.

V divjini so se že pojavile številne različice te grožnje, akterji groženj pa sčasoma nenehno izpopolnjujejo svojo učinkovitost in uspešnost.

Poleg tega je avtor zlonamerne programske opreme objavil prenosnik zlonamerne programske opreme .NET s kodnim imenom FUD-Loader, ki omogoča pridobivanje dodatnega binarnega koristnega tovora s strežnikov, ki jih nadzorujejo napadalci. Ta program za prenos so že opazili v akciji, saj prinaša grožnje Trojanca za oddaljeni dostop (RAT), kot so DCRat, njRAT , DarkComet in Agent Tesla .