SapphireStealer 惡意軟件

多個組織使用基於 .NET 框架構建的名為 SapphireStealer 的開源信息收集惡意軟件來增強其功能並創建自定義版本。網絡安全專家透露，SapphireStealer 等信息收集惡意軟件被用來獲取關鍵數據，包括企業登錄憑據。這些非法獲得的憑證經常被出售給其他心懷不軌的行為者，他們利用這些憑證發起進一步的攻擊，包括間諜活動、勒索軟件和勒索活動。

此類惡意軟件不僅標誌著網絡犯罪即服務(CaaS) 模式的進步，而且還為其他欺詐相關行為者提供了通過促進勒索軟件分發、實施數據盜竊和參與攻擊來從竊取的數據中獲利的機會。各種其他邪惡的網絡活動。

SapphireStealer 從受感染設備捕獲各種敏感信息

SapphireStealer 是一種基於 .NET 的信息收集惡意軟件，擁有簡單而有效的功能集，旨在從受感染的系統中提取敏感數據。其功能包括：

• • 收集主機信息。

• • 捕獲屏幕截圖。

• • 收集緩存的瀏覽器憑據。

• • 根據預定義的文件擴展名識別並定位受感染系統上的特定文件。

首次執行後，惡意軟件會進行檢查以確定係統上是否存在任何活動的瀏覽器進程。它掃描當前正在運行的進程列表，以查找與以下進程名稱的匹配項：chrome、yandex、msedge 和 Opera。如果找到任何匹配的進程，惡意軟件就會使用 Process.Kill() 方法來終止它們。

此外，該惡意軟件利用硬編碼的文件路徑列表來檢測與大約 15 種不同 Web 瀏覽器（包括 Chrome、Opera、Yandex、Brave 瀏覽器、Microsoft Edge、Atom 瀏覽器等）關聯的憑證數據庫的存在。

隨後，SapphireStealer 嘗試從受感染的系統捕獲屏幕截圖，並將其以文件名“Screenshot.png”保存在同一工作目錄中。為了擴大其數據收集工作，惡意軟件會觸發文件抓取器組件，旨在找到受害者桌面文件夾中與預定義文件擴展名列表匹配的文件。

最後，竊取的數據通過簡單郵件傳輸協議 (SMTP) 傳輸給攻擊者，並在負責編寫和發送消息的代碼中指定所需的憑據。

網絡犯罪分子正在積極開發 SapphireStealer 變種

SapphireStealer 類似於許多其他在暗網上變得越來越流行的數據收集惡意軟件。然而，它的與眾不同之處在於，其源代碼於 2022 年 12 月下旬免費公開發布。這使得與欺詐相關的行為者能夠嘗試該惡意軟件，從而使其檢測起來更加困難。因此，他們引入了適應性強的數據洩露方法，例如利用 Discord webhook 或 Telegram API。

這種威脅的多種變體已經在野外出現，威脅行為者隨著時間的推移不斷提高其效率和有效性。

此外，惡意軟件作者還公開了一個代號為 FUD-Loader 的 .NET 惡意軟件下載器，該下載器允許從攻擊者控制的服務器檢索額外的二進制有效負載。該下載程序已在實際運行中被觀察到，它會傳播遠程訪問木馬 (RAT) 威脅，例如 DCRat、 njRAT 、 DarkComet和Agent Tesla 。