Phần mềm độc hại SapphireStealer
Nhiều nhóm sử dụng phần mềm độc hại thu thập thông tin nguồn mở có tên SapphireStealer, được xây dựng trên .NET framework, để tăng cường khả năng của chúng và tạo ra các phiên bản tùy chỉnh. Các chuyên gia an ninh mạng tiết lộ rằng phần mềm độc hại thu thập thông tin như SapphireStealer được sử dụng để lấy dữ liệu quan trọng, bao gồm cả thông tin đăng nhập của công ty. Những thông tin xác thực bất chính này thường được bán cho những kẻ xấu xa khác, những kẻ khai thác chúng để thực hiện các cuộc tấn công tiếp theo, từ gián điệp đến các hoạt động tống tiền và ransomware.
Loại phần mềm độc hại này không chỉ biểu thị sự tiến bộ của mô hình tội phạm mạng dưới dạng dịch vụ (CaaS) mà còn tạo cơ hội cho các tác nhân liên quan đến lừa đảo khác kiếm lợi từ dữ liệu bị đánh cắp bằng cách tạo điều kiện cho việc phân phối ransomware, thực hiện hành vi trộm cắp dữ liệu và lôi kéo. trong nhiều hoạt động mạng bất chính khác.
SapphireStealer ghi lại nhiều thông tin nhạy cảm khác nhau từ các thiết bị bị xâm phạm
SapphireStealer, phần mềm độc hại thu thập thông tin dựa trên .NET, sở hữu bộ tính năng đơn giản nhưng hiệu quả được thiết kế để trích xuất dữ liệu nhạy cảm từ các hệ thống bị xâm nhập. Khả năng của nó bao gồm:
-
- Thu thập thông tin máy chủ.
-
- Chụp ảnh màn hình.
-
- Thu thập thông tin xác thực trình duyệt được lưu trong bộ nhớ cache.
-
- Xác định và nhắm mục tiêu các tệp cụ thể trên hệ thống bị nhiễm dựa trên phần mở rộng tệp được xác định trước.
Sau lần thực thi đầu tiên, phần mềm độc hại sẽ tiến hành kiểm tra để xác định sự hiện diện của bất kỳ quy trình trình duyệt đang hoạt động nào trên hệ thống. Nó quét danh sách các quy trình hiện đang chạy để tìm kết quả khớp với các tên quy trình sau: chrome, yandex, msedge và Opera. Nếu tìm thấy bất kỳ quy trình trùng khớp nào, phần mềm độc hại sẽ sử dụng phương thức Process.Kill() để chấm dứt chúng.
Hơn nữa, phần mềm độc hại sử dụng danh sách đường dẫn tệp được mã hóa cứng để phát hiện sự tồn tại của cơ sở dữ liệu thông tin xác thực được liên kết với khoảng 15 trình duyệt Web khác nhau, bao gồm Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browsers, v.v.
Sau đó, SapphireStealer cố gắng chụp ảnh màn hình từ hệ thống bị xâm nhập, lưu nó vào cùng thư mục làm việc với tên tệp 'Screenshot.png.' Để mở rộng nỗ lực thu thập dữ liệu, phần mềm độc hại kích hoạt thành phần lấy tệp, nhằm mục đích xác định vị trí các tệp trong thư mục Desktop của nạn nhân khớp với danh sách phần mở rộng tệp được xác định trước.
Cuối cùng, dữ liệu bị đánh cắp sẽ được truyền đến kẻ tấn công thông qua Giao thức truyền thư đơn giản (SMTP), với thông tin xác thực cần thiết được chỉ định trong mã chịu trách nhiệm soạn và gửi tin nhắn.
Các biến thể của SapphireStealer đang được tội phạm mạng tích cực phát triển
SapphireStealer giống với nhiều chủng phần mềm độc hại thu thập dữ liệu khác ngày càng trở nên phổ biến trên Dark Web. Tuy nhiên, điều khiến nó trở nên khác biệt là mã nguồn của nó đã được phát hành công khai miễn phí vào cuối tháng 12 năm 2022. Điều này đã trao quyền cho những kẻ liên quan đến gian lận thử nghiệm phần mềm độc hại, khiến việc phát hiện nó trở nên khó khăn hơn đáng kể. Do đó, họ đã giới thiệu các phương pháp lọc dữ liệu có thể thích ứng, chẳng hạn như tận dụng webhook Discord hoặc API Telegram.
Vô số biến thể của mối đe dọa này đã xuất hiện trong thực tế, với các tác nhân đe dọa liên tục cải tiến hiệu suất và hiệu quả của chúng theo thời gian.
Ngoài ra, tác giả phần mềm độc hại đã công khai trình tải xuống phần mềm độc hại .NET, có tên mã là FUD-Loader, cho phép truy xuất các tải trọng nhị phân bổ sung từ các máy chủ do kẻ tấn công kiểm soát. Trình tải xuống này đã được quan sát thấy đang hoạt động, mang đến các mối đe dọa Trojan truy cập từ xa (RAT) như DCRat, njRAT , DarkComet và Agent Tesla .
