SapphireStealer Kötü Amaçlı Yazılım
Birden fazla grup, yeteneklerini desteklemek ve özelleştirilmiş sürümler oluşturmak için .NET çerçevesi üzerine kurulu SapphireStealer adlı açık kaynaklı, bilgi toplayan bir kötü amaçlı yazılım kullanıyor. Siber güvenlik uzmanları, SapphireStealer gibi bilgi toplayan kötü amaçlı yazılımların, kurumsal oturum açma kimlik bilgileri de dahil olmak üzere kritik verileri elde etmek için kullanıldığını ortaya koyuyor. Bu haksız yere elde edilen kimlik bilgileri sıklıkla casusluktan fidye yazılımına ve gasp operasyonlarına kadar uzanan daha fazla saldırı başlatmak için bunları kullanan diğer kötü niyetli aktörlere satılıyor.
Bu tür kötü amaçlı yazılımlar yalnızca hizmet olarak siber suç (CaaS) modelinin ilerlemesine işaret etmekle kalmaz, aynı zamanda dolandırıcılıkla ilgili diğer aktörlerin fidye yazılımı dağıtımını kolaylaştırarak, veri hırsızlığı gerçekleştirerek ve etkileşime geçerek çalınan verilerden kâr elde etme fırsatları da sağlar. diğer çeşitli hain siber faaliyetlerde.
SapphireStealer Güvenliği Tehlikeye Giren Cihazlardan Çeşitli Hassas Bilgileri Yakalıyor
.NET tabanlı bilgi toplayan bir kötü amaçlı yazılım olan SapphireStealer, güvenliği ihlal edilmiş sistemlerden hassas verileri çıkarmak için tasarlanmış basit ama etkili bir özellik setine sahiptir. Yetenekleri şunları içerir:
-
- Ana bilgisayar bilgileri toplanıyor.
-
- Ekran görüntüleri yakalama.
-
- Önbelleğe alınmış tarayıcı kimlik bilgileri toplanıyor.
-
- Önceden tanımlanmış dosya uzantılarına göre virüslü sistemdeki belirli dosyaları belirleme ve hedefleme.
Kötü amaçlı yazılım, ilk çalıştırılmasının ardından sistemde herhangi bir etkin tarayıcı işleminin olup olmadığını belirlemek için bir kontrol gerçekleştirir. Şu anda çalışan işlemlerin listesini şu işlem adlarına sahip eşleşmeler için tarar: chrome, yandex, msedge ve Opera. Eşleşen herhangi bir işlem bulunursa, kötü amaçlı yazılım bunları sonlandırmak için Process.Kill() yöntemini kullanır.
Ayrıca kötü amaçlı yazılım, Chrome, Opera, Yandex, Brave Tarayıcı, Microsoft Edge, Atom Tarayıcılar ve daha fazlası dahil olmak üzere yaklaşık 15 farklı Web tarayıcısıyla ilişkili kimlik bilgisi veritabanlarının varlığını tespit etmek için sabit kodlanmış bir dosya yolu listesi kullanıyor.
Daha sonra SapphireStealer, ele geçirilen sistemden bir ekran görüntüsü yakalamaya çalışır ve bunu 'Screenshot.png' dosya adı altında aynı çalışma dizinine kaydeder. Kötü amaçlı yazılım, veri toplama çabalarını genişletmek için, kurbanın Masaüstü klasöründe önceden tanımlanmış bir dosya uzantıları listesiyle eşleşen dosyaları bulmayı amaçlayan bir dosya yakalama bileşenini tetikler.
Son olarak, çalınan veriler, mesajın oluşturulmasından ve gönderilmesinden sorumlu kodda gerekli kimlik bilgilerinin belirtilmesiyle, Basit Posta Aktarım Protokolü (SMTP) aracılığıyla saldırgana iletilir.
SapphireStealer Çeşitleri Siber Suçlular Tarafından Aktif Olarak Geliştiriliyor
SapphireStealer, Dark Web'de giderek yaygınlaşan diğer birçok veri toplayan kötü amaçlı yazılım türüne benziyor. Ancak onu diğerlerinden ayıran şey, kaynak kodunun Aralık 2022'nin sonlarında açıkça ücretsiz olarak yayınlanmış olmasıdır. Bu, dolandırıcılıkla ilgili aktörlerin kötü amaçlı yazılımla deneme yapmasına olanak tanıdı ve tespit edilmesi çok daha zor hale geldi. Sonuç olarak, Discord web kancasından veya Telegram API'sinden yararlanmak gibi uyarlanabilir veri sızdırma yöntemlerini uygulamaya koydular.
Tehdit aktörlerinin zaman içinde verimliliklerini ve etkinliklerini sürekli olarak geliştirmesiyle, bu tehdidin çok sayıda çeşidi hâlihazırda ortaya çıktı.
Ek olarak, kötü amaçlı yazılım yazarı, saldırganlar tarafından kontrol edilen sunuculardan ek ikili yüklerin alınmasına olanak tanıyan FUD-Loader kod adlı bir .NET kötü amaçlı yazılım indiricisini halka açık hale getirdi. Bu indiricinin DCRat, njRAT , DarkComet ve Agent Tesla gibi Uzaktan Erişim Truva Atı (RAT) tehditlerini sağladığı zaten çalışırken gözlemlendi.
