SapphireStealer మాల్వేర్
బహుళ సమూహాలు తమ సామర్థ్యాలను పెంచుకోవడానికి మరియు అనుకూలీకరించిన సంస్కరణలను రూపొందించడానికి .NET ఫ్రేమ్వర్క్పై నిర్మించిన SapphireStealer అని పిలువబడే ఓపెన్-సోర్స్ సమాచార-సేకరించే మాల్వేర్ను ఉపయోగిస్తాయి. కార్పొరేట్ లాగిన్ క్రెడెన్షియల్స్తో సహా క్లిష్టమైన డేటాను పొందేందుకు SapphireStealer వంటి సమాచారాన్ని సేకరించే మాల్వేర్ని ఉపయోగిస్తున్నారని సైబర్ సెక్యూరిటీ నిపుణులు వెల్లడించారు. గూఢచర్యం నుండి ransomware మరియు దోపిడీ కార్యకలాపాల వరకు మరిన్ని దాడులను ప్రారంభించడానికి ఈ అక్రమంగా సంపాదించిన ఆధారాలు తరచుగా ఇతర చెడు మనస్సు గల నటులకు విక్రయించబడతాయి.
ఈ రకమైన మాల్వేర్ సైబర్ క్రైమ్-యాజ్-ఎ-సర్వీస్ (CaaS) మోడల్ యొక్క పురోగతిని సూచించడమే కాకుండా, ransomware పంపిణీని సులభతరం చేయడం, డేటా చౌర్యం చేయడం మరియు నిమగ్నమవ్వడం ద్వారా దొంగిలించబడిన డేటా నుండి లాభం పొందేందుకు ఇతర మోసాలకు సంబంధించిన నటులకు అవకాశాలను కూడా అందిస్తుంది. అనేక ఇతర దుర్మార్గమైన సైబర్ కార్యకలాపాలలో.
SapphireStealer రాజీపడిన పరికరాల నుండి వివిధ సున్నితమైన సమాచారాన్ని సంగ్రహిస్తుంది
SapphireStealer, .NET-ఆధారిత సమాచార-సేకరించే మాల్వేర్, రాజీపడిన సిస్టమ్ల నుండి సున్నితమైన డేటాను సంగ్రహించడం కోసం రూపొందించబడిన సూటిగా ఇంకా ప్రభావవంతమైన ఫీచర్ సెట్ను కలిగి ఉంది. దీని సామర్థ్యాలలో ఇవి ఉన్నాయి:
-
- హోస్ట్ సమాచారాన్ని సేకరిస్తోంది.
-
- స్క్రీన్షాట్లను సంగ్రహిస్తోంది.
-
- కాష్ చేయబడిన బ్రౌజర్ ఆధారాలను సేకరించడం.
-
- ముందే నిర్వచించిన ఫైల్ పొడిగింపుల ఆధారంగా సోకిన సిస్టమ్లోని నిర్దిష్ట ఫైల్లను గుర్తించడం మరియు లక్ష్యంగా చేసుకోవడం.
దాని ప్రారంభ అమలు తర్వాత, మాల్వేర్ సిస్టమ్లో ఏదైనా యాక్టివ్ బ్రౌజర్ ప్రాసెస్ల ఉనికిని గుర్తించడానికి తనిఖీని నిర్వహిస్తుంది. ఇది కింది ప్రాసెస్ పేర్లతో మ్యాచ్ల కోసం ప్రస్తుతం నడుస్తున్న ప్రాసెస్ల జాబితాను స్కాన్ చేస్తుంది: chrome, yandex, msedge మరియు Opera. ఏదైనా మ్యాచింగ్ ప్రాసెస్లు కనుగొనబడితే, మాల్వేర్ వాటిని ముగించడానికి Process.Kill() పద్ధతిని ఉపయోగిస్తుంది.
ఇంకా, Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom బ్రౌజర్లు మరియు మరిన్నింటితో సహా సుమారు 15 విభిన్న వెబ్ బ్రౌజర్లతో అనుబంధించబడిన క్రెడెన్షియల్ డేటాబేస్ల ఉనికిని గుర్తించడానికి మాల్వేర్ హార్డ్-కోడెడ్ ఫైల్ పాత్ల జాబితాను ఉపయోగిస్తుంది.
తదనంతరం, SapphireStealer రాజీపడిన సిస్టమ్ నుండి స్క్రీన్షాట్ను క్యాప్చర్ చేయడానికి ప్రయత్నిస్తుంది, దానిని అదే వర్కింగ్ డైరెక్టరీలో 'Screenshot.png.' ఫైల్ పేరుతో సేవ్ చేస్తుంది. దాని డేటా సేకరణ ప్రయత్నాలను విస్తరించడానికి, మాల్వేర్ ఫైల్ గ్రాబర్ కాంపోనెంట్ను ట్రిగ్గర్ చేస్తుంది, ఫైల్ ఎక్స్టెన్షన్ల యొక్క ముందే నిర్వచించిన జాబితాతో సరిపోలే ఫైల్లను బాధితుల డెస్క్టాప్ ఫోల్డర్లో గుర్తించడం లక్ష్యంగా పెట్టుకుంది.
చివరగా, దొంగిలించబడిన డేటా సింపుల్ మెయిల్ ట్రాన్స్ఫర్ ప్రోటోకాల్ (SMTP) ద్వారా దాడి చేసే వ్యక్తికి ప్రసారం చేయబడుతుంది, సందేశాన్ని కంపోజ్ చేయడానికి మరియు పంపడానికి బాధ్యత వహించే కోడ్లో అవసరమైన ఆధారాలు పేర్కొనబడతాయి.
SapphireStealer వేరియంట్లు సైబర్ నేరగాళ్లచే చురుకుగా అభివృద్ధి చేయబడుతున్నాయి
SapphireStealer డార్క్ వెబ్లో ఎక్కువగా ప్రబలంగా మారిన అనేక ఇతర డేటా-సేకరించే మాల్వేర్ జాతులను పోలి ఉంటుంది. ఏది ఏమయినప్పటికీ, దాని సోర్స్ కోడ్ డిసెంబర్ 2022 చివరిలో బహిరంగంగా ఉచితంగా విడుదల చేయబడింది. ఇది మాల్వేర్తో ప్రయోగాలు చేయడానికి మోసానికి సంబంధించిన నటులకు అధికారం ఇచ్చింది, ఇది గుర్తించడం చాలా సవాలుగా మారింది. ఫలితంగా, వారు డిస్కార్డ్ వెబ్హుక్ లేదా టెలిగ్రామ్ APIని ఉపయోగించుకోవడం వంటి అనుకూల డేటా ఎక్స్ఫిల్ట్రేషన్ పద్ధతులను ప్రవేశపెట్టారు.
ఈ ముప్పు యొక్క అనేక వైవిధ్యాలు ఇప్పటికే అడవిలో కనిపించాయి, ముప్పు నటులు కాలక్రమేణా వారి సామర్థ్యాన్ని మరియు ప్రభావాన్ని నిరంతరం మెరుగుపరుస్తారు.
అదనంగా, మాల్వేర్ రచయిత .NET మాల్వేర్ డౌన్లోడర్ను పబ్లిక్గా చేసారు, ఇది FUD-లోడర్ అనే కోడ్నేమ్ చేయబడింది, ఇది దాడి చేసే వారిచే నియంత్రించబడే సర్వర్ల నుండి అదనపు బైనరీ పేలోడ్లను తిరిగి పొందేందుకు అనుమతిస్తుంది. DCRat, njRAT , DarkComet మరియు ఏజెంట్ టెస్లా వంటి రిమోట్ యాక్సెస్ ట్రోజన్ (RAT) బెదిరింపులను అందజేస్తూ, ఈ డౌన్లోడర్ ఇప్పటికే చర్యలో గమనించబడింది.