SapphireStealer wird im Dark Web für 50 US-Dollar pro Monat verkauft

Eine Malware namens SapphireStealer, die auf dem Open-Source-Framework .NET basiert, wird von verschiedenen Gruppen genutzt, um ihre Funktionalität zu verbessern und angepasste Versionen für ihre spezifischen Bedürfnisse zu erstellen.

Laut einem Bericht des Cisco Talos-Forschers Edmund Brumaghin ist informationsstehlende Malware wie SapphireStealer in der Lage, sensible Daten wie Unternehmensanmeldeinformationen abzugreifen. Diese gestohlenen Informationen werden häufig an andere böswillige Akteure verkauft, die sie dann für weitere Cyberangriffe ausnutzen, einschließlich Aktivitäten im Zusammenhang mit Spionage, Ransomware oder Erpressung.

SapphireStealer wird als Sprungbrett für Ransomware-Angriffe verwendet

Im Laufe der Zeit ist ein umfassendes Ökosystem entstanden, das es sowohl finanziell motivierten Cyberkriminellen als auch nationalstaatlichen Akteuren ermöglicht, die Dienste von Malware-Erstellern zu nutzen, um eine breite Palette von Cyberangriffen durchzuführen. Folglich stellt solche Malware nicht nur eine Weiterentwicklung des Cybercrime-as-a-Service (CaaS)-Modells dar, sondern bietet auch Möglichkeiten für andere Bedrohungsakteure, durch die Verbreitung von Ransomware, Datendiebstahl und andere böswillige Cyberoperationen von den gestohlenen Daten zu profitieren.

SapphireStealer ähnelt stark anderer Malware zum Informationsdiebstahl, die im Dark Web immer häufiger auftritt. Es verfügt über Funktionen zum Sammeln von Hostinformationen, Browserdaten, Dateien, Screenshots und zum Exfiltrieren dieser Daten im ZIP-Format über das Simple Mail Transfer Protocol (SMTP).

Die kostenlose Veröffentlichung des Quellcodes Ende Dezember 2022 ermöglichte es böswilligen Personen jedoch, mit der Malware zu experimentieren, was ihre Erkennung erschwerte. Dazu gehört die Integration flexibler Datenexfiltrationsmethoden mithilfe des Discord-Webhooks oder der Telegram-API.

Laut Brumaghin sind bereits mehrere Varianten dieser Bedrohung im Umlauf, und Bedrohungsakteure verfeinern ihre Effizienz und Wirksamkeit im Laufe der Zeit weiter.

Darüber hinaus hat der Malware-Autor auch einen .NET-Malware-Downloader namens FUD-Loader veröffentlicht, der das Abrufen zusätzlicher binärer Nutzlasten von vom Angreifer kontrollierten Verteilungsservern erleichtert.

Talos berichtete, dass dieser Malware-Downloader bei realen Vorfällen zur Bereitstellung von Remote-Verwaltungstools wie DCRat, njRAT, DarkComet und Agent Tesla verwendet wurde.

Diese Enthüllung erfolgt kurz nachdem Zscaler Informationen über eine andere Malware namens Agniane Stealer weitergegeben hat, die Informationen stiehlt. Diese Malware ist in der Lage, Anmeldeinformationen, Systeminformationen, Browsersitzungsdetails, Daten von Telegram und Discord sowie über verschiedene Tools übertragene Dateien zu stehlen. Es kann auch auf Daten abzielen, die mit über 70 Kryptowährungserweiterungen und 10 Wallets verknüpft sind. Agniane Stealer kann für 50 US-Dollar pro Monat in verschiedenen Dark-Web-Foren und einem Telegram-Kanal erworben werden.