СаппхиреСтеалер Малваре

Више група користи злонамерни софтвер отвореног кода за прикупљање информација под називом СаппхиреСтеалер, изграђен на .НЕТ фрамеворк-у, да побољша своје могућности и креира прилагођене верзије. Стручњаци за сајбер безбедност откривају да се малвер за прикупљање информација, као што је СаппхиреСтеалер, користи за прикупљање критичних података, укључујући корпоративне акредитиве за пријаву. Ови незаконито стечени акредитиви се често продају другим злобним актерима који их искориштавају за покретање даљих напада, у распону од шпијунаже до рансомваре-а и операција изнуде.

Ова врста злонамерног софтвера не само да означава напредак модела сајбер-криминал-као-услуга (ЦааС), већ и пружа могућности другим актерима у вези са преварама да профитирају од украдених података омогућавањем дистрибуције рансомваре-а, вршењем крађе података и ангажовањем у разним другим злочестим сајбер активностима.

СаппхиреСтеалер снима различите осетљиве информације са компромитованих уређаја

СаппхиреСтеалер, злонамерни софтвер за прикупљање информација заснован на .НЕТ-у, поседује једноставан, али ефикасан скуп функција дизајнираних за издвајање осетљивих података из компромитованих система. Његове могућности укључују:

• • Прикупљање информација о домаћину.

• • Снимање снимака екрана.

• • Сакупљање кешираних акредитива претраживача.

• • Идентификовање и циљање одређених датотека на зараженом систему на основу унапред дефинисаних екстензија датотека.

По свом иницијалном извршавању, злонамерни софтвер спроводи проверу да би утврдио присуство активних процеса претраживача у систему. Скенира листу тренутно покренутих процеса у потрази за подударањима са следећим називима процеса: цхроме, иандек, мседге и Опера. Ако се пронађе било који процес који се подудара, малвер користи метод Процесс.Килл() да их прекине.

Штавише, злонамерни софтвер користи тврдо кодирану листу путања датотека да открије постојање база података акредитива повезаних са отприлике 15 различитих веб прегледача, укључујући Цхроме, Опера, Иандек, Браве Бровсер, Мицрософт Едге, Атом претраживаче и још много тога.

Након тога, СаппхиреСтеалер настоји да сними снимак екрана са компромитованог система, чувајући га у истом радном директоријуму под именом датотеке „Сцреенсхот.пнг“. Да би проширио своје напоре у прикупљању података, злонамерни софтвер покреће компоненту за хватање датотека, која има за циљ да лоцира датотеке унутар фасцикле на радној површини жртве које одговарају унапред дефинисаној листи екстензија датотека.

Коначно, украдени подаци се преносе нападачу преко једноставног протокола за пренос поште (СМТП), при чему су потребни акредитиви наведени у коду одговорном за састављање и слање поруке.

Сајбер криминалци активно развијају варијанте СаппхиреСтеалер-а

СаппхиреСтеалер подсећа на бројне друге врсте злонамерног софтвера за прикупљање података који постају све присутнији на мрачном вебу. Међутим, оно што га издваја јесте чињеница да је његов изворни код отворено бесплатно објављен крајем децембра 2022. Ово је омогућило актерима који се баве преварама да експериментишу са малвером, што га чини знатно тежим за откривање. Као резултат тога, увели су прилагодљиве методе ексфилтрације података, као што је коришћење Дисцорд веб-хука или Телеграм АПИ-ја.

Бројне варијације ове претње већ су се појавиле у дивљини, а актери претњи непрестано побољшавају своју ефикасност и ефективност током времена.

Поред тога, аутор малвера је јавно објавио .НЕТ програм за преузимање малвера, кодног назива ФУД-Лоадер, који омогућава преузимање додатних бинарних података са сервера које контролишу нападачи. Овај програм за преузимање је већ примећен у акцији, испоручујући претње Тројанца за даљински приступ (РАТ), као што су ДЦРат, њРАТ , ДаркЦомет и Агент Тесла .