SapphireStealer 恶意软件
多个组织使用基于 .NET 框架构建的名为 SapphireStealer 的开源信息收集恶意软件来增强其功能并创建自定义版本。网络安全专家透露,SapphireStealer 等信息收集恶意软件被用来获取关键数据,包括企业登录凭据。这些非法获得的凭证经常被出售给其他心怀不轨的行为者,他们利用这些凭证发起进一步的攻击,包括间谍活动、勒索软件和勒索活动。
此类恶意软件不仅标志着网络犯罪即服务 (CaaS) 模式的进步,而且还为其他欺诈相关行为者提供了通过促进勒索软件分发、实施数据盗窃和参与攻击来从窃取的数据中获利的机会。各种其他邪恶的网络活动。
SapphireStealer 从受感染设备捕获各种敏感信息
SapphireStealer 是一种基于 .NET 的信息收集恶意软件,拥有简单而有效的功能集,旨在从受感染的系统中提取敏感数据。其功能包括:
-
- 收集主机信息。
-
- 捕获屏幕截图。
-
- 收集缓存的浏览器凭据。
-
- 根据预定义的文件扩展名识别并定位受感染系统上的特定文件。
首次执行后,恶意软件会进行检查以确定系统上是否存在任何活动的浏览器进程。它扫描当前正在运行的进程列表,以查找与以下进程名称的匹配项:chrome、yandex、msedge 和 Opera。如果找到任何匹配的进程,恶意软件就会使用 Process.Kill() 方法来终止它们。
此外,该恶意软件利用硬编码的文件路径列表来检测与大约 15 种不同 Web 浏览器(包括 Chrome、Opera、Yandex、Brave 浏览器、Microsoft Edge、Atom 浏览器等)关联的凭证数据库的存在。
随后,SapphireStealer 尝试从受感染的系统捕获屏幕截图,并将其以文件名“Screenshot.png”保存在同一工作目录中。为了扩大其数据收集工作,恶意软件会触发文件抓取器组件,旨在找到受害者桌面文件夹中与预定义文件扩展名列表匹配的文件。
最后,窃取的数据通过简单邮件传输协议 (SMTP) 传输给攻击者,并在负责编写和发送消息的代码中指定所需的凭据。
网络犯罪分子正在积极开发 SapphireStealer 变种
SapphireStealer 类似于许多其他在暗网上变得越来越流行的数据收集恶意软件。然而,它的与众不同之处在于,其源代码于 2022 年 12 月下旬免费公开发布。这使得与欺诈相关的行为者能够尝试该恶意软件,从而使其检测起来更加困难。因此,他们引入了适应性强的数据泄露方法,例如利用 Discord webhook 或 Telegram API。
这种威胁的多种变体已经在野外出现,威胁行为者随着时间的推移不断提高其效率和有效性。
此外,恶意软件作者还公开了一个代号为 FUD-Loader 的 .NET 恶意软件下载器,该下载器允许从攻击者控制的服务器检索额外的二进制有效负载。该下载程序已在实际运行中被观察到,它会传播远程访问木马 (RAT) 威胁,例如 DCRat、 njRAT 、 DarkComet和Agent Tesla 。