SapphireStealer Malware

Flera grupper använder en öppen källkod som samlar in information som kallas SapphireStealer, byggd på .NET-ramverket, för att stärka sina möjligheter och skapa anpassade versioner. Cybersäkerhetsexperter avslöjar att skadlig programvara som samlar in information som SapphireStealer används för att skaffa kritisk data, inklusive företagsinloggningsuppgifter. Dessa illa tagna referenser säljs ofta till andra illasinnade aktörer som utnyttjar dem för att starta ytterligare attacker, allt från spionage till ransomware och utpressningsoperationer.

Den här typen av skadlig programvara betyder inte bara utvecklingen av modellen för cyberbrott som en tjänst (CaaS) utan ger också möjligheter för andra bedrägerirelaterade aktörer att dra nytta av den stulna informationen genom att underlätta distribution av ransomware, utföra datastöld och engagera sig. i olika andra skändliga cyberaktiviteter.

SapphireStealer fångar upp olika känslig information från komprometterade enheter

SapphireStealer, en .NET-baserad skadlig programvara som samlar in information, har en enkel men effektiv funktionsuppsättning designad för att extrahera känslig data från komprometterade system. Dess funktioner inkluderar:

• • Samla in värdinformation.

• • Ta skärmdumpar.

• • Insamling av cachade webbläsaruppgifter.

• • Identifiera och rikta in sig på specifika filer på det infekterade systemet baserat på fördefinierade filtillägg.

Vid den första exekveringen utför den skadliga programvaran en kontroll för att fastställa närvaron av aktiva webbläsarprocesser i systemet. Den skannar listan över för närvarande pågående processer efter matchningar med följande processnamn: chrome, yandex, msedge och Opera. Om några matchande processer hittas använder den skadliga programvaran Process.Kill()-metoden för att avsluta dem.

Dessutom använder den skadliga programvaran en hårdkodad lista med filsökvägar för att upptäcka förekomsten av referensdatabaser associerade med cirka 15 olika webbläsare, inklusive Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browsers och mer.

Därefter strävar SapphireStealer efter att ta en skärmdump från det komprometterade systemet och spara den i samma arbetskatalog under filnamnet 'Screenshot.png'. För att utöka sina ansträngningar för datainsamling utlöser skadlig programvara en filhämtningskomponent, som syftar till att hitta filer i offrets skrivbordsmapp som matchar en fördefinierad lista med filtillägg.

Slutligen överförs den stöldade datan till angriparen via Simple Mail Transfer Protocol (SMTP), med de nödvändiga referenserna specificerade i koden som är ansvarig för att skapa och skicka meddelandet.

SapphireStealer-varianter utvecklas aktivt av cyberkriminella

SapphireStealer liknar många andra skadlig programvara som samlar in data som har blivit allt vanligare på Dark Web. Men det som skiljer det åt är det faktum att dess källkod släpptes öppet gratis i slutet av december 2022. Detta har gett bedrägerirelaterade aktörer möjlighet att experimentera med skadlig programvara, vilket gör det betydligt svårare att upptäcka. Som ett resultat har de introducerat anpassningsbara dataexfiltreringsmetoder, som att utnyttja en Discord webhook eller Telegram API.

Många varianter av detta hot har redan dykt upp i naturen, med hotaktörer som kontinuerligt förfinar sin effektivitet och effektivitet över tiden.

Dessutom har upphovsmannen till skadlig programvara offentliggjort en .NET-nedladdare av skadlig kod, kodnamnet FUD-Loader, som gör det möjligt att hämta ytterligare binära nyttolaster från servrar som kontrolleras av angripare. Denna nedladdare har redan observerats i aktion och levererar Remote Access Trojan (RAT)-hot som DCRat, njRAT , DarkComet och Agent Tesla .