Зловмисне програмне забезпечення SapphireStealer

Кілька груп використовують зловмисне програмне забезпечення SapphireStealer із відкритим вихідним кодом для збору інформації, створене на основі .NET Framework, щоб розширити свої можливості та створити персоналізовані версії. Експерти з кібербезпеки розкривають, що зловмисне програмне забезпечення, яке збирає інформацію, наприклад SapphireStealer, використовується для отримання критично важливих даних, включаючи корпоративні облікові дані для входу. Ці неправомірно отримані облікові дані часто продаються іншим недоброзичливцям, які використовують їх для подальших атак, починаючи від шпигунства до програм-вимагачів і операцій здирництва.

Цей тип зловмисного програмного забезпечення не тільки означає розвиток моделі кіберзлочинності як послуги (CaaS), але й надає можливість іншим суб’єктам, пов’язаним із шахрайством, отримувати прибуток від вкрадених даних, сприяючи розповсюдженню програм-вимагачів, здійснюючи крадіжки даних і залучаючи в різних інших нечесних кібердіяльності.

SapphireStealer збирає різноманітну конфіденційну інформацію зі зламаних пристроїв

SapphireStealer, зловмисне програмне забезпечення для збору інформації на основі .NET, має простий, але ефективний набір функцій, розроблений для вилучення конфіденційних даних із скомпрометованих систем. Його можливості включають:

• • Збір інформації про хоста.

• • Створення скріншотів.

• • Збір кешованих облікових даних браузера.

• • Ідентифікація та націлювання на конкретні файли в зараженій системі на основі попередньо визначених розширень файлів.

Після початкового запуску зловмисне програмне забезпечення проводить перевірку, щоб визначити наявність будь-яких активних процесів браузера в системі. Він сканує список запущених процесів на збіги з такими назвами процесів: chrome, yandex, msedge та Opera. Якщо знайдено відповідні процеси, зловмисне програмне забезпечення використовує метод Process.Kill(), щоб завершити їх роботу.

Крім того, зловмисне програмне забезпечення використовує жорстко закодований список шляхів до файлів, щоб виявити існування баз даних облікових даних, пов’язаних із приблизно 15 різними веб-браузерами, включаючи Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, браузери Atom тощо.

Згодом SapphireStealer намагається зробити знімок екрана зламаної системи, зберігаючи його в тому самому робочому каталозі під назвою «Screenshot.png». Щоб розширити свої зусилля зі збору даних, зловмисне програмне забезпечення запускає компонент захоплення файлів, який прагне знайти файли в папці робочого столу жертви, які відповідають попередньо визначеному списку розширень файлів.

Нарешті, вкрадені дані передаються зловмиснику через простий протокол передачі пошти (SMTP), при цьому необхідні облікові дані вказуються в коді, який відповідає за створення та надсилання повідомлення.

Варіанти SapphireStealer активно розробляються кіберзлочинцями

SapphireStealer нагадує численні інші штами шкідливих програм для збору даних, які стають все більш поширеними в темній мережі. Однак його виділяє той факт, що його вихідний код було відкрито безкоштовно оприлюднено наприкінці грудня 2022 року. Це дало можливість учасникам шахрайства експериментувати зі зловмисним програмним забезпеченням, що значно ускладнило його виявлення. У результаті вони запровадили адаптивні методи викрадання даних, такі як використання вебхука Discord або API Telegram.

Численні варіації цієї загрози вже з’явилися в дикій природі, і суб’єкти загрози з часом постійно вдосконалюють свою ефективність і ефективність.

Крім того, автор зловмисного програмного забезпечення опублікував завантажувач зловмисного програмного забезпечення .NET під кодовою назвою FUD-Loader, який дозволяє отримувати додаткові двійкові файли з серверів, контрольованих зловмисниками. Цей завантажувач уже спостерігався в дії, доставляючи загрози Remote Access Trojan (RAT), такі як DCRat, njRAT , DarkComet і Agent Tesla .