SapphireStealer solgt for $50 pr. måned på det mørke web

En malware kendt som SapphireStealer, bygget på open source .NET frameworket, bliver brugt af forskellige grupper til at forbedre dens funktionalitet og skabe tilpassede versioner til deres specifikke behov.

Ifølge en rapport fra Cisco Talos-forsker Edmund Brumaghin er informationstjælende malware som SapphireStealer i stand til at erhverve følsomme data, såsom virksomhedsoplysninger. Disse stjålne oplysninger sælges ofte til andre ondsindede aktører, som derefter udnytter dem til yderligere cyberangreb, herunder aktiviteter relateret til spionage, løsepenge eller afpresning.

SapphireStealer Brugt som stepping Stone til Ransomware-angreb

Med tiden er der opstået et omfattende økosystem, der gør det muligt for både økonomisk motiverede cyberkriminelle og nationalstatsaktører at udnytte de tjenester, som malware-skabere leverer til at udføre en bred vifte af cyberangreb. Følgelig betyder sådan malware ikke kun en udvikling af cyberkriminalitet-som-en-tjeneste-modellen (CaaS), men giver også andre trusselsaktører mulighed for at drage fordel af de stjålne data gennem ransomware-distribution, datatyveri og andre ondsindede cyberoperationer.

SapphireStealer minder meget om anden informationstjælende malware, der er blevet mere og mere udbredt på det mørke web. Det har funktioner til at indsamle værtsoplysninger, browserdata, filer, skærmbilleder og eksfiltrering af disse data i ZIP-format gennem Simple Mail Transfer Protocol (SMTP).

Udgivelsen af dens kildekode gratis i slutningen af december 2022 har dog givet ondsindede personer mulighed for at eksperimentere med malwaren, hvilket gør det sværere at opdage. Dette inkluderer inkorporering af fleksible dataeksfiltreringsmetoder ved hjælp af Discord webhook eller Telegram API.

Ifølge Brumaghin cirkulerer flere varianter af denne trussel allerede i naturen, og trusselsaktører fortsætter med at forfine dens effektivitet og effektivitet over tid.

Desuden har malware-forfatteren også offentliggjort en .NET malware-downloader kaldet FUD-Loader, som letter hentning af yderligere binære nyttelaster fra angriberkontrollerede distributionsservere.

Talos rapporterede, at de opdagede brugen af denne malware-downloader i hændelser i den virkelige verden for at levere fjernadministrationsværktøjer som DCRat, njRAT, DarkComet og Agent Tesla.

Denne afsløring kommer kort efter, at Zscaler delte oplysninger om en anden informationstjælende malware ved navn Agniane Stealer. Denne malware har evnen til at stjæle legitimationsoplysninger, systemoplysninger, browsersessionsdetaljer, data fra Telegram og Discord og filer, der overføres via forskellige værktøjer. Det kan også målrette mod data forbundet med over 70 cryptocurrency-udvidelser og 10 tegnebøger. Agniane Stealer kan købes for $50 pr. måned på forskellige mørke web-fora og en Telegram-kanal.