SapphireStealer மால்வேர்
பல குழுக்கள் தங்கள் திறன்களை அதிகரிக்க மற்றும் தனிப்பயனாக்கப்பட்ட பதிப்புகளை உருவாக்க, .NET கட்டமைப்பில் கட்டமைக்கப்பட்ட SapphireStealer எனப்படும் திறந்த மூல தகவல் சேகரிக்கும் தீம்பொருளைப் பயன்படுத்துகின்றன. SapphireStealer போன்ற தகவல் சேகரிக்கும் மால்வேர் கார்ப்பரேட் உள்நுழைவு சான்றுகள் உட்பட முக்கியமான தரவைப் பெறுவதற்குப் பயன்படுத்தப்படுவதாக சைபர் பாதுகாப்பு நிபுணர்கள் வெளிப்படுத்துகின்றனர். இந்த தவறான நற்சான்றிதழ்கள் அடிக்கடி மற்ற தவறான எண்ணம் கொண்ட நடிகர்களுக்கு விற்கப்படுகின்றன, அவர்கள் உளவு பார்ப்பதில் இருந்து ransomware மற்றும் மிரட்டி பணம் பறித்தல் நடவடிக்கைகள் வரை மேலும் தாக்குதல்களைத் தொடங்க அவர்களைப் பயன்படுத்திக் கொள்கிறார்கள்.
இந்த வகையான தீம்பொருள் சைபர் கிரைம்-ஆ-சேவை (CaaS) மாதிரியின் முன்னேற்றத்தைக் குறிப்பது மட்டுமல்லாமல், மோசடி தொடர்பான பிற நடிகர்களுக்கு ransomware விநியோகத்தை எளிதாக்குவதன் மூலம், தரவு திருட்டு மற்றும் ஈடுபாட்டின் மூலம் கொள்ளையிடப்பட்ட தரவுகளிலிருந்து லாபம் ஈட்டுவதற்கான வாய்ப்புகளையும் வழங்குகிறது. பல்வேறு மோசமான இணைய நடவடிக்கைகளில்.
SapphireStealer சமரசம் செய்யப்பட்ட சாதனங்களிலிருந்து பல்வேறு முக்கியமான தகவல்களைப் பிடிக்கிறது
SapphireStealer, ஒரு .NET-அடிப்படையிலான தகவல் சேகரிக்கும் மால்வேர், சமரசம் செய்யப்பட்ட அமைப்புகளிலிருந்து முக்கியமான தரவைப் பிரித்தெடுப்பதற்காக வடிவமைக்கப்பட்ட நேரடியான ஆனால் பயனுள்ள அம்சத் தொகுப்பைக் கொண்டுள்ளது. அதன் திறன்கள் அடங்கும்:
-
- ஹோஸ்ட் தகவலைச் சேகரித்தல்.
-
- ஸ்கிரீன் ஷாட்களைப் பிடிக்கிறது.
-
- தற்காலிக சேமிப்பில் உள்ள உலாவி நற்சான்றிதழ்களை அறுவடை செய்கிறது.
-
- முன் வரையறுக்கப்பட்ட கோப்பு நீட்டிப்புகளின் அடிப்படையில் பாதிக்கப்பட்ட கணினியில் குறிப்பிட்ட கோப்புகளைக் கண்டறிந்து இலக்கு வைத்தல்.
அதன் ஆரம்ப செயல்பாட்டின் போது, கணினியில் ஏதேனும் செயலில் உள்ள உலாவி செயல்முறைகள் இருப்பதைக் கண்டறிய தீம்பொருள் ஒரு சோதனையை நடத்துகிறது. இது தற்போது இயங்கும் செயல்முறைகளின் பட்டியலை பின்வரும் செயல்முறை பெயர்களுடன் ஸ்கேன் செய்கிறது: chrome, yandex, msedge மற்றும் Opera. ஏதேனும் பொருந்தக்கூடிய செயல்முறைகள் கண்டறியப்பட்டால், தீம்பொருள் அவற்றை நிறுத்த Process.Kill() முறையைப் பயன்படுத்துகிறது.
மேலும், தீம்பொருள் Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom உலாவிகள் மற்றும் பலவற்றை உள்ளடக்கிய தோராயமாக 15 வெவ்வேறு இணைய உலாவிகளுடன் தொடர்புடைய நற்சான்றிதழ் தரவுத்தளங்களின் இருப்பைக் கண்டறிய கடின-குறியிடப்பட்ட கோப்பு பாதைகளின் பட்டியலைப் பயன்படுத்துகிறது.
பின்னர், SapphireStealer சமரசம் செய்யப்பட்ட அமைப்பிலிருந்து ஒரு ஸ்கிரீன் ஷாட்டைப் பிடிக்க முயற்சிக்கிறது, அதை 'Screenshot.png.' என்ற கோப்பு பெயரில் அதே வேலை செய்யும் கோப்பகத்தில் சேமிக்கிறது. அதன் தரவு சேகரிப்பு முயற்சிகளை விரிவுபடுத்த, தீம்பொருள் ஒரு கோப்பு கிராப்பர் கூறுகளைத் தூண்டுகிறது, இது பாதிக்கப்பட்டவரின் டெஸ்க்டாப் கோப்புறையில் கோப்பு நீட்டிப்புகளின் முன் வரையறுக்கப்பட்ட பட்டியலுடன் பொருந்தக்கூடிய கோப்புகளைக் கண்டறிவதை நோக்கமாகக் கொண்டுள்ளது.
இறுதியாக, திருடப்பட்ட தரவு எளிய அஞ்சல் பரிமாற்ற நெறிமுறை (SMTP) மூலம் தாக்குபவர்களுக்கு அனுப்பப்படுகிறது, தேவையான சான்றுகள் செய்தியை உருவாக்குவதற்கும் அனுப்புவதற்கும் பொறுப்பான குறியீட்டிற்குள் குறிப்பிடப்படுகின்றன.
SapphireStealer வகைகள் சைபர் கிரைமினல்களால் தீவிரமாக உருவாக்கப்படுகின்றன
SapphireStealer ஆனது டார்க் வெப்பில் அதிகளவில் பரவி வரும் பல தரவு சேகரிக்கும் மால்வேர் விகாரங்களை ஒத்திருக்கிறது. இருப்பினும், டிசம்பர் 2022 இன் பிற்பகுதியில் அதன் மூலக் குறியீடு வெளிப்படையாக இலவசமாக வெளியிடப்பட்டது. இது மால்வேரைப் பரிசோதிக்க மோசடி தொடர்பான நடிகர்களுக்கு அதிகாரம் அளித்துள்ளது, மேலும் அதைக் கண்டறிவது மிகவும் சவாலானது. இதன் விளைவாக, அவர்கள் டிஸ்கார்ட் வெப்ஹூக் அல்லது டெலிகிராம் ஏபிஐ போன்றவற்றை மாற்றியமைக்கக்கூடிய தரவு வெளியேற்ற முறைகளை அறிமுகப்படுத்தியுள்ளனர்.
இந்த அச்சுறுத்தலின் பல மாறுபாடுகள் ஏற்கனவே காடுகளில் தோன்றியுள்ளன, அச்சுறுத்தும் நடிகர்கள் காலப்போக்கில் தங்கள் செயல்திறனையும் செயல்திறனையும் தொடர்ந்து செம்மைப்படுத்துகிறார்கள்.
கூடுதலாக, தீம்பொருள் ஆசிரியர் ஒரு .NET மால்வேர் டவுன்லோடரைப் பகிரங்கப்படுத்தியுள்ளார், இது FUD-Loader என்ற குறியீட்டுப் பெயரிடப்பட்டது, இது தாக்குபவர்களால் கட்டுப்படுத்தப்படும் சேவையகங்களிலிருந்து கூடுதல் பைனரி பேலோடுகளை மீட்டெடுக்க அனுமதிக்கிறது. DCRat, njRAT , DarkComet மற்றும் ஏஜென்ட் டெஸ்லா போன்ற ரிமோட் அக்சஸ் ட்ரோஜன் (RAT) அச்சுறுத்தல்களை வழங்கும் இந்த டவுன்லோடர் ஏற்கனவே செயல்பாட்டில் உள்ளது.
