SapphireStealer మాల్వేర్

బహుళ సమూహాలు తమ సామర్థ్యాలను పెంచుకోవడానికి మరియు అనుకూలీకరించిన సంస్కరణలను రూపొందించడానికి .NET ఫ్రేమ్‌వర్క్‌పై నిర్మించిన SapphireStealer అని పిలువబడే ఓపెన్-సోర్స్ సమాచార-సేకరించే మాల్వేర్‌ను ఉపయోగిస్తాయి. కార్పొరేట్ లాగిన్ క్రెడెన్షియల్స్‌తో సహా క్లిష్టమైన డేటాను పొందేందుకు SapphireStealer వంటి సమాచారాన్ని సేకరించే మాల్వేర్‌ని ఉపయోగిస్తున్నారని సైబర్‌ సెక్యూరిటీ నిపుణులు వెల్లడించారు. గూఢచర్యం నుండి ransomware మరియు దోపిడీ కార్యకలాపాల వరకు మరిన్ని దాడులను ప్రారంభించడానికి ఈ అక్రమంగా సంపాదించిన ఆధారాలు తరచుగా ఇతర చెడు మనస్సు గల నటులకు విక్రయించబడతాయి.

ఈ రకమైన మాల్వేర్ సైబర్ క్రైమ్-యాజ్-ఎ-సర్వీస్ (CaaS) మోడల్ యొక్క పురోగతిని సూచించడమే కాకుండా, ransomware పంపిణీని సులభతరం చేయడం, డేటా చౌర్యం చేయడం మరియు నిమగ్నమవ్వడం ద్వారా దొంగిలించబడిన డేటా నుండి లాభం పొందేందుకు ఇతర మోసాలకు సంబంధించిన నటులకు అవకాశాలను కూడా అందిస్తుంది. అనేక ఇతర దుర్మార్గమైన సైబర్ కార్యకలాపాలలో.

SapphireStealer రాజీపడిన పరికరాల నుండి వివిధ సున్నితమైన సమాచారాన్ని సంగ్రహిస్తుంది

SapphireStealer, .NET-ఆధారిత సమాచార-సేకరించే మాల్వేర్, రాజీపడిన సిస్టమ్‌ల నుండి సున్నితమైన డేటాను సంగ్రహించడం కోసం రూపొందించబడిన సూటిగా ఇంకా ప్రభావవంతమైన ఫీచర్ సెట్‌ను కలిగి ఉంది. దీని సామర్థ్యాలలో ఇవి ఉన్నాయి:

• • హోస్ట్ సమాచారాన్ని సేకరిస్తోంది.

• • స్క్రీన్‌షాట్‌లను సంగ్రహిస్తోంది.

• • కాష్ చేయబడిన బ్రౌజర్ ఆధారాలను సేకరించడం.

• • ముందే నిర్వచించిన ఫైల్ పొడిగింపుల ఆధారంగా సోకిన సిస్టమ్‌లోని నిర్దిష్ట ఫైల్‌లను గుర్తించడం మరియు లక్ష్యంగా చేసుకోవడం.

దాని ప్రారంభ అమలు తర్వాత, మాల్వేర్ సిస్టమ్‌లో ఏదైనా యాక్టివ్ బ్రౌజర్ ప్రాసెస్‌ల ఉనికిని గుర్తించడానికి తనిఖీని నిర్వహిస్తుంది. ఇది కింది ప్రాసెస్ పేర్లతో మ్యాచ్‌ల కోసం ప్రస్తుతం నడుస్తున్న ప్రాసెస్‌ల జాబితాను స్కాన్ చేస్తుంది: chrome, yandex, msedge మరియు Opera. ఏదైనా మ్యాచింగ్ ప్రాసెస్‌లు కనుగొనబడితే, మాల్వేర్ వాటిని ముగించడానికి Process.Kill() పద్ధతిని ఉపయోగిస్తుంది.

ఇంకా, Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom బ్రౌజర్‌లు మరియు మరిన్నింటితో సహా సుమారు 15 విభిన్న వెబ్ బ్రౌజర్‌లతో అనుబంధించబడిన క్రెడెన్షియల్ డేటాబేస్‌ల ఉనికిని గుర్తించడానికి మాల్వేర్ హార్డ్-కోడెడ్ ఫైల్ పాత్‌ల జాబితాను ఉపయోగిస్తుంది.

తదనంతరం, SapphireStealer రాజీపడిన సిస్టమ్ నుండి స్క్రీన్‌షాట్‌ను క్యాప్చర్ చేయడానికి ప్రయత్నిస్తుంది, దానిని అదే వర్కింగ్ డైరెక్టరీలో 'Screenshot.png.' ఫైల్ పేరుతో సేవ్ చేస్తుంది. దాని డేటా సేకరణ ప్రయత్నాలను విస్తరించడానికి, మాల్వేర్ ఫైల్ గ్రాబర్ కాంపోనెంట్‌ను ట్రిగ్గర్ చేస్తుంది, ఫైల్ ఎక్స్‌టెన్షన్‌ల యొక్క ముందే నిర్వచించిన జాబితాతో సరిపోలే ఫైల్‌లను బాధితుల డెస్క్‌టాప్ ఫోల్డర్‌లో గుర్తించడం లక్ష్యంగా పెట్టుకుంది.

చివరగా, దొంగిలించబడిన డేటా సింపుల్ మెయిల్ ట్రాన్స్‌ఫర్ ప్రోటోకాల్ (SMTP) ద్వారా దాడి చేసే వ్యక్తికి ప్రసారం చేయబడుతుంది, సందేశాన్ని కంపోజ్ చేయడానికి మరియు పంపడానికి బాధ్యత వహించే కోడ్‌లో అవసరమైన ఆధారాలు పేర్కొనబడతాయి.

SapphireStealer వేరియంట్‌లు సైబర్ నేరగాళ్లచే చురుకుగా అభివృద్ధి చేయబడుతున్నాయి

SapphireStealer డార్క్ వెబ్‌లో ఎక్కువగా ప్రబలంగా మారిన అనేక ఇతర డేటా-సేకరించే మాల్వేర్ జాతులను పోలి ఉంటుంది. ఏది ఏమయినప్పటికీ, దాని సోర్స్ కోడ్ డిసెంబర్ 2022 చివరిలో బహిరంగంగా ఉచితంగా విడుదల చేయబడింది. ఇది మాల్వేర్‌తో ప్రయోగాలు చేయడానికి మోసానికి సంబంధించిన నటులకు అధికారం ఇచ్చింది, ఇది గుర్తించడం చాలా సవాలుగా మారింది. ఫలితంగా, వారు డిస్కార్డ్ వెబ్‌హుక్ లేదా టెలిగ్రామ్ APIని ఉపయోగించుకోవడం వంటి అనుకూల డేటా ఎక్స్‌ఫిల్ట్రేషన్ పద్ధతులను ప్రవేశపెట్టారు.

ఈ ముప్పు యొక్క అనేక వైవిధ్యాలు ఇప్పటికే అడవిలో కనిపించాయి, ముప్పు నటులు కాలక్రమేణా వారి సామర్థ్యాన్ని మరియు ప్రభావాన్ని నిరంతరం మెరుగుపరుస్తారు.

అదనంగా, మాల్వేర్ రచయిత .NET మాల్వేర్ డౌన్‌లోడర్‌ను పబ్లిక్‌గా చేసారు, ఇది FUD-లోడర్ అనే కోడ్‌నేమ్ చేయబడింది, ఇది దాడి చేసే వారిచే నియంత్రించబడే సర్వర్‌ల నుండి అదనపు బైనరీ పేలోడ్‌లను తిరిగి పొందేందుకు అనుమతిస్తుంది. DCRat, njRAT , DarkComet మరియు ఏజెంట్ టెస్లా వంటి రిమోట్ యాక్సెస్ ట్రోజన్ (RAT) బెదిరింపులను అందజేస్తూ, ఈ డౌన్‌లోడర్ ఇప్పటికే చర్యలో గమనించబడింది.