Malware SapphireStealer

Grupe të shumta përdorin një malware me burim të hapur që mbledh informacione të quajtur SapphireStealer, i ndërtuar në kornizën .NET, për të forcuar aftësitë e tyre dhe për të krijuar versione të personalizuara. Ekspertët e sigurisë kibernetike zbulojnë se malware që mbledh informacion, si SapphireStealer, përdoret për të marrë të dhëna kritike, duke përfshirë kredencialet e hyrjes së korporatës. Këto kredenciale të marra në mënyrë të paligjshme u shiten shpesh aktorëve të tjerë me mendje të keqe, të cilët i shfrytëzojnë ato për të nisur sulme të mëtejshme, duke filluar nga spiunazhi te ransomware dhe operacionet e zhvatjes.

Ky lloj malware jo vetëm që nënkupton avancimin e modelit të krimit kibernetik si shërbim (CaaS), por gjithashtu ofron mundësi për aktorë të tjerë të lidhur me mashtrimin që të përfitojnë nga të dhënat e vjedhura duke lehtësuar shpërndarjen e ransomware, kryerjen e vjedhjeve të të dhënave dhe angazhimin në aktivitete të tjera të mbrapshta kibernetike.

SapphireStealer kap informacione të ndryshme të ndjeshme nga pajisjet e komprometuara

SapphireStealer, një malware i bazuar në .NET për mbledhjen e informacionit, posedon një grup funksionesh të drejtpërdrejta por efektive të krijuar për nxjerrjen e të dhënave të ndjeshme nga sistemet e komprometuara. Aftësitë e tij përfshijnë:

• • Mbledhja e informacionit të hostit.

• • Kapja e pamjeve të ekranit.

• • Po korren kredencialet e shfletuesit të ruajtur në memorie të fshehtë.

• • Identifikimi dhe synimi i skedarëve specifikë në sistemin e infektuar bazuar në shtesat e skedarëve të paracaktuara.

Pas ekzekutimit të tij fillestar, malware kryen një kontroll për të përcaktuar praninë e çdo procesi aktiv të shfletuesit në sistem. Ai skanon listën e proceseve që ekzekutohen aktualisht për ndeshjet me emrat e mëposhtëm të proceseve: chrome, yandex, msedge dhe Opera. Nëse gjendet ndonjë proces që përputhet, malware përdor metodën Process.Kill() për t'i përfunduar ato.

Për më tepër, malware përdor një listë të koduar të shtigjeve të skedarëve për të zbuluar ekzistencën e bazave të të dhënave kredenciale të lidhura me afërsisht 15 shfletues të ndryshëm të internetit, duke përfshirë Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browser dhe më shumë.

Më pas, SapphireStealer përpiqet të marrë një pamje të ekranit nga sistemi i komprometuar, duke e ruajtur atë në të njëjtën direktori të punës nën emrin e skedarit 'Screenshot.png.' Për të zgjeruar përpjekjet e tij për mbledhjen e të dhënave, malware aktivizon një komponent rrëmbyes skedari, duke synuar të lokalizojë skedarët brenda dosjes së Desktop-it të viktimës që përputhen me një listë të paracaktuar të shtesave të skedarëve.

Së fundi, të dhënat e vjedhura i transmetohen sulmuesit nëpërmjet Protokollit të Transferimit të Postës së thjeshtë (SMTP), me kredencialet e kërkuara që specifikohen brenda kodit përgjegjës për kompozimin dhe dërgimin e mesazhit.

Variantet e SapphireStealer po zhvillohen në mënyrë aktive nga kriminelët kibernetikë

SapphireStealer i ngjan shumë llojeve të tjera malware që mbledhin të dhëna që janë bërë gjithnjë e më të përhapura në Dark Web. Megjithatë, ajo që e veçon atë është fakti se kodi i tij burimor u lëshua hapur falas në fund të dhjetorit 2022. Kjo i ka fuqizuar aktorët e lidhur me mashtrimin të eksperimentojnë me malware, duke e bërë atë dukshëm më sfidues për t'u zbuluar. Si rezultat, ata kanë prezantuar metoda të adaptueshme të eksfiltrimit të të dhënave, të tilla si shfrytëzimi i një uebhook Discord ose API-t e Telegramit.

Variacione të shumta të këtij kërcënimi janë shfaqur tashmë në natyrë, me aktorët e kërcënimit që përmirësojnë vazhdimisht efikasitetin dhe efektivitetin e tyre me kalimin e kohës.

Për më tepër, autori i malware ka bërë publik një shkarkues malware .NET, të koduar FUD-Loader, i cili lejon marrjen e ngarkesave binare shtesë nga serverët e kontrolluar nga sulmuesit. Ky shkarkues tashmë është vëzhguar në veprim, duke ofruar kërcënime të Trojanit me qasje në distancë (RAT) si DCRat, njRAT , DarkComet dhe Agent Tesla .