SapphireStealer Malware

Maraming grupo ang gumagamit ng open-source na malware sa pangongolekta ng impormasyon na tinatawag na SapphireStealer, na binuo sa .NET framework, upang palakasin ang kanilang mga kakayahan at lumikha ng mga customized na bersyon. Ibinunyag ng mga eksperto sa cybersecurity na ang malware sa pagkolekta ng impormasyon tulad ng SapphireStealer ay ginagamit upang makakuha ng kritikal na data, kabilang ang mga kredensyal sa pag-log in ng kumpanya. Ang mga ill-gotten na kredensyal na ito ay madalas na ibinebenta sa iba pang masamang pag-iisip na mga aktor na nagsasamantala sa kanila upang maglunsad ng higit pang mga pag-atake, mula sa paniniktik hanggang sa ransomware at mga operasyong pangingikil.

Ang ganitong uri ng malware ay hindi lamang nangangahulugan ng pag-unlad ng cybercrime-as-a-service (CaaS) na modelo ngunit nagbibigay din ng mga pagkakataon para sa iba pang mga aktor na nauugnay sa panloloko na kumita mula sa ninakaw na data sa pamamagitan ng pagpapadali sa pamamahagi ng ransomware, pagsasagawa ng pagnanakaw ng data, at pakikipag-ugnayan. sa iba't ibang masasamang aktibidad sa cyber.

Kinukuha ng SapphireStealer ang Iba't Ibang Sensitibong Impormasyon mula sa Mga Nakompromisong Device

Ang SapphireStealer, isang malware sa pangongolekta ng impormasyon na nakabatay sa .NET, ay nagtataglay ng isang tapat ngunit epektibong hanay ng tampok na idinisenyo para sa pagkuha ng sensitibong data mula sa mga nakompromisong system. Kasama sa mga kakayahan nito ang:

• • Pangangalap ng impormasyon ng host.

• • Pagkuha ng mga screenshot.

• • Pag-aani ng mga naka-cache na kredensyal ng browser.

• • Pagkilala at pag-target ng mga partikular na file sa nahawaang system batay sa mga paunang natukoy na extension ng file.

Sa paunang pagpapatupad nito, nagsasagawa ang malware ng pagsusuri upang matukoy ang pagkakaroon ng anumang aktibong proseso ng browser sa system. Ini-scan nito ang listahan ng kasalukuyang tumatakbong mga proseso para sa mga tugma na may mga sumusunod na pangalan ng proseso: chrome, yandex, msedge at Opera. Kung may nakitang anumang katugmang proseso, ginagamit ng malware ang Process.Kill() na paraan upang wakasan ang mga ito.

Higit pa rito, ang malware ay gumagamit ng isang hard-coded na listahan ng mga path ng file upang makita ang pagkakaroon ng mga kredensyal na database na nauugnay sa humigit-kumulang 15 iba't ibang mga Web browser, kabilang ang Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browser at higit pa.

Kasunod nito, sinisikap ng SapphireStealer na kumuha ng screenshot mula sa nakompromisong system, na ini-save ito sa parehong gumaganang direktoryo sa ilalim ng filename na 'Screenshot.png.' Upang palawakin ang mga pagsusumikap sa pagkolekta ng data, ang malware ay nagti-trigger ng isang file grabber component, na naglalayong hanapin ang mga file sa loob ng folder ng Desktop ng biktima na tumutugma sa isang paunang natukoy na listahan ng mga extension ng file.

Sa wakas, ang data na ninakaw ay ipinadala sa umaatake sa pamamagitan ng Simple Mail Transfer Protocol (SMTP), kasama ang mga kinakailangang kredensyal na tinukoy sa loob ng code na responsable para sa pagbuo at pagpapadala ng mensahe.

Ang Mga Variant ng SapphireStealer ay Aktibong Binubuo ng Mga Cybercriminal

Ang SapphireStealer ay kahawig ng maraming iba pang mga strain ng malware sa pagkolekta ng data na lalong naging laganap sa Dark Web. Gayunpaman, ang pinagkaiba nito ay ang katotohanan na ang source code nito ay hayagang inilabas nang libre noong huling bahagi ng Disyembre 2022. Nagbigay ito ng kapangyarihan sa mga aktor na may kaugnayan sa panloloko na mag-eksperimento sa malware, kaya mas mahirap itong matukoy. Bilang resulta, ipinakilala nila ang mga naaangkop na paraan ng pag-exfiltration ng data, tulad ng paggamit ng Discord webhook o ang Telegram API.

Maraming mga pagkakaiba-iba ng banta na ito ang lumabas na sa ligaw, kung saan ang mga aktor ng pagbabanta ay patuloy na pinipino ang kanilang kahusayan at pagiging epektibo sa paglipas ng panahon.

Bukod pa rito, ang may-akda ng malware ay ginawang publiko ang isang .NET malware downloader, na may codenamed FUD-Loader, na nagbibigay-daan para sa pagkuha ng mga karagdagang binary payload mula sa mga server na kinokontrol ng mga umaatake. Ang downloader na ito ay naobserbahan na sa pagkilos, na naghahatid ng mga banta ng Remote Access Trojan (RAT) tulad ng DCRat, njRAT , DarkComet at Agent Tesla .