SapphireStealer 恶意软件

多个组织使用基于 .NET 框架构建的名为 SapphireStealer 的开源信息收集恶意软件来增强其功能并创建自定义版本。网络安全专家透露，SapphireStealer 等信息收集恶意软件被用来获取关键数据，包括企业登录凭据。这些非法获得的凭证经常被出售给其他心怀不轨的行为者，他们利用这些凭证发起进一步的攻击，包括间谍活动、勒索软件和勒索活动。

此类恶意软件不仅标志着网络犯罪即服务 (CaaS) 模式的进步，而且还为其他欺诈相关行为者提供了通过促进勒索软件分发、实施数据盗窃和参与攻击来从窃取的数据中获利的机会。各种其他邪恶的网络活动。

SapphireStealer 从受感染设备捕获各种敏感信息

SapphireStealer 是一种基于 .NET 的信息收集恶意软件，拥有简单而有效的功能集，旨在从受感染的系统中提取敏感数据。其功能包括：

• • 收集主机信息。

• • 捕获屏幕截图。

• • 收集缓存的浏览器凭据。

• • 根据预定义的文件扩展名识别并定位受感染系统上的特定文件。

首次执行后，恶意软件会进行检查以确定系统上是否存在任何活动的浏览器进程。它扫描当前正在运行的进程列表，以查找与以下进程名称的匹配项：chrome、yandex、msedge 和 Opera。如果找到任何匹配的进程，恶意软件就会使用 Process.Kill() 方法来终止它们。

此外，该恶意软件利用硬编码的文件路径列表来检测与大约 15 种不同 Web 浏览器（包括 Chrome、Opera、Yandex、Brave 浏览器、Microsoft Edge、Atom 浏览器等）关联的凭证数据库的存在。

随后，SapphireStealer 尝试从受感染的系统捕获屏幕截图，并将其以文件名“Screenshot.png”保存在同一工作目录中。为了扩大其数据收集工作，恶意软件会触发文件抓取器组件，旨在找到受害者桌面文件夹中与预定义文件扩展名列表匹配的文件。

最后，窃取的数据通过简单邮件传输协议 (SMTP) 传输给攻击者，并在负责编写和发送消息的代码中指定所需的凭据。

网络犯罪分子正在积极开发 SapphireStealer 变种

SapphireStealer 类似于许多其他在暗网上变得越来越流行的数据收集恶意软件。然而，它的与众不同之处在于，其源代码于 2022 年 12 月下旬免费公开发布。这使得与欺诈相关的行为者能够尝试该恶意软件，从而使其检测起来更加困难。因此，他们引入了适应性强的数据泄露方法，例如利用 Discord webhook 或 Telegram API。

这种威胁的多种变体已经在野外出现，威胁行为者随着时间的推移不断提高其效率和有效性。

此外，恶意软件作者还公开了一个代号为 FUD-Loader 的 .NET 恶意软件下载器，该下载器允许从攻击者控制的服务器检索额外的二进制有效负载。该下载程序已在实际运行中被观察到，它会传播远程访问木马 (RAT) 威胁，例如 DCRat、 njRAT 、 DarkComet和Agent Tesla 。