มัลแวร์ SapphireStealer
หลายกลุ่มใช้มัลแวร์รวบรวมข้อมูลโอเพ่นซอร์สที่เรียกว่า SapphireStealer ซึ่งสร้างขึ้นบนเฟรมเวิร์ก .NET เพื่อเสริมความสามารถและสร้างเวอร์ชันที่ปรับแต่งเอง ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เปิดเผยว่ามีการใช้มัลแวร์รวบรวมข้อมูล เช่น SapphireStealer เพื่อรับข้อมูลสำคัญ รวมถึงข้อมูลรับรองการเข้าสู่ระบบขององค์กร ข้อมูลรับรองที่ได้มาโดยมิชอบเหล่านี้มักถูกขายให้กับผู้กระทำผิดอื่นๆ ที่ใช้ประโยชน์จากข้อมูลเหล่านี้เพื่อทำการโจมตีเพิ่มเติม ตั้งแต่การจารกรรมไปจนถึงแรนซัมแวร์และการขู่กรรโชก
มัลแวร์ประเภทนี้ไม่เพียงแต่บ่งบอกถึงความก้าวหน้าของโมเดลอาชญากรรมทางไซเบอร์ในรูปแบบบริการ (CaaS) เท่านั้น แต่ยังมอบโอกาสให้กับผู้ที่เกี่ยวข้องกับการฉ้อโกงรายอื่น ๆ เพื่อสร้างผลกำไรจากข้อมูลที่ขโมยมาโดยอำนวยความสะดวกในการกระจายแรนซัมแวร์ ดำเนินการขโมยข้อมูล และมีส่วนร่วม ในกิจกรรมทางไซเบอร์ที่ชั่วร้ายอื่นๆ
SapphireStealer จับภาพข้อมูลที่ละเอียดอ่อนต่างๆ จากอุปกรณ์ที่ถูกบุกรุก
SapphireStealer ซึ่งเป็นมัลแวร์รวบรวมข้อมูลบน .NET มีชุดคุณลักษณะที่ตรงไปตรงมาแต่มีประสิทธิภาพ ซึ่งออกแบบมาเพื่อดึงข้อมูลที่ละเอียดอ่อนจากระบบที่ถูกบุกรุก ความสามารถประกอบด้วย:
-
- รวบรวมข้อมูลโฮสต์
-
- กำลังจับภาพหน้าจอ
-
- กำลังรวบรวมข้อมูลรับรองเบราว์เซอร์ที่แคชไว้
-
- การระบุและกำหนดเป้าหมายไฟล์เฉพาะบนระบบที่ติดไวรัสตามนามสกุลไฟล์ที่กำหนดไว้ล่วงหน้า
เมื่อดำเนินการครั้งแรก มัลแวร์จะทำการตรวจสอบเพื่อดูว่ามีกระบวนการของเบราว์เซอร์ที่ทำงานอยู่ในระบบหรือไม่ จะสแกนรายการกระบวนการที่กำลังทำงานอยู่ในปัจจุบันเพื่อหารายการที่ตรงกับชื่อกระบวนการต่อไปนี้: chrome, yandex, msedge และ Opera หากพบกระบวนการที่ตรงกัน มัลแวร์จะใช้วิธี Process.Kill() เพื่อยุติกระบวนการเหล่านั้น
นอกจากนี้ มัลแวร์ยังใช้รายการเส้นทางไฟล์แบบฮาร์ดโค้ดเพื่อตรวจจับการมีอยู่ของฐานข้อมูลรับรองที่เกี่ยวข้องกับเว็บเบราว์เซอร์ที่แตกต่างกันประมาณ 15 รายการ รวมถึง Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browsers และอีกมากมาย
ต่อจากนั้น SapphireStealer พยายามที่จะจับภาพหน้าจอจากระบบที่ถูกบุกรุก โดยบันทึกไว้ในไดเร็กทอรีการทำงานเดียวกันภายใต้ชื่อไฟล์ 'Screenshot.png' เพื่อขยายความพยายามในการรวบรวมข้อมูล มัลแวร์จะเรียกใช้องค์ประกอบตัวดึงไฟล์ โดยมีเป้าหมายเพื่อค้นหาไฟล์ภายในโฟลเดอร์เดสก์ท็อปของเหยื่อที่ตรงกับรายการนามสกุลไฟล์ที่กำหนดไว้ล่วงหน้า
สุดท้าย ข้อมูลที่ถูกขโมยจะถูกส่งไปยังผู้โจมตีผ่าน Simple Mail Transfer Protocol (SMTP) โดยมีการระบุข้อมูลรับรองที่จำเป็นภายในโค้ดที่รับผิดชอบในการเขียนและส่งข้อความ
SapphireStealer Variants กำลังได้รับการพัฒนาอย่างแข็งขันโดยอาชญากรไซเบอร์
SapphireStealer มีลักษณะคล้ายกับมัลแวร์รวบรวมข้อมูลสายพันธุ์อื่น ๆ มากมายที่แพร่หลายมากขึ้นใน Dark Web อย่างไรก็ตาม สิ่งที่ทำให้มันแตกต่างก็คือความจริงที่ว่าซอร์สโค้ดของมันได้รับการเผยแพร่อย่างเปิดเผยฟรีในช่วงปลายเดือนธันวาคม 2022 สิ่งนี้ได้เพิ่มขีดความสามารถให้กับผู้ที่เกี่ยวข้องกับการฉ้อโกงในการทดลองกับมัลแวร์ ทำให้การตรวจจับมีความท้าทายมากขึ้นอย่างมาก ด้วยเหตุนี้ พวกเขาจึงได้แนะนำวิธีการกรองข้อมูลที่ปรับเปลี่ยนได้ เช่น การใช้ประโยชน์จาก Discord webhook หรือ Telegram API
ภัยคุกคามนี้มีความหลากหลายมากมายได้เกิดขึ้นแล้ว โดยผู้ก่อภัยคุกคามจะปรับปรุงประสิทธิภาพและประสิทธิผลอย่างต่อเนื่องเมื่อเวลาผ่านไป
นอกจากนี้ ผู้เขียนมัลแวร์ยังได้เผยแพร่โปรแกรมดาวน์โหลดมัลแวร์ .NET สู่สาธารณะ ซึ่งมีชื่อรหัสว่า FUD-Loader ซึ่งช่วยให้สามารถเรียกข้อมูลเพย์โหลดไบนารีเพิ่มเติมจากเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตีได้ โปรแกรมดาวน์โหลดนี้ได้รับการสังเกตการทำงานแล้ว โดยส่งภัยคุกคาม Remote Access Trojan (RAT) เช่น DCRat, njRAT , DarkComet และ Agent Tesla
