Το SapphireStealer πωλείται για 50 $ ανά μήνα στο Dark Web
Ένα κακόβουλο λογισμικό γνωστό ως SapphireStealer, που βασίζεται στο πλαίσιο ανοιχτού κώδικα .NET, χρησιμοποιείται από διάφορες ομάδες για τη βελτίωση της λειτουργικότητάς του και τη δημιουργία προσαρμοσμένων εκδόσεων για τις συγκεκριμένες ανάγκες τους.
Σύμφωνα με μια αναφορά από τον ερευνητή της Cisco Talos, Edmund Brumaghin, το κακόβουλο λογισμικό που κλέβει πληροφορίες όπως το SapphireStealer είναι ικανό να αποκτά ευαίσθητα δεδομένα, όπως εταιρικά διαπιστευτήρια. Αυτές οι κλεμμένες πληροφορίες πωλούνται συχνά σε άλλους κακόβουλους παράγοντες οι οποίοι στη συνέχεια τις εκμεταλλεύονται για πρόσθετες επιθέσεις στον κυβερνοχώρο, συμπεριλαμβανομένων δραστηριοτήτων που σχετίζονται με κατασκοπεία, ransomware ή εκβιασμό.
Το SapphireStealer χρησιμοποιείται ως σκαλοπάτι για επιθέσεις Ransomware
Με την πάροδο του χρόνου, αναδύθηκε ένα ολοκληρωμένο οικοσύστημα που επιτρέπει τόσο σε κυβερνοεγκληματίες με οικονομικά κίνητρα όσο και σε φορείς εθνικών κρατών να αξιοποιήσουν τις υπηρεσίες που παρέχονται από δημιουργούς κακόβουλου λογισμικού για να εκτελέσουν ένα ευρύ φάσμα κυβερνοεπιθέσεων. Κατά συνέπεια, τέτοιο κακόβουλο λογισμικό δεν σημαίνει μόνο μια εξέλιξη του μοντέλου cybercrime-as-a-service (CaaS), αλλά παρέχει επίσης ευκαιρίες σε άλλους παράγοντες απειλών να επωφεληθούν από τα κλεμμένα δεδομένα μέσω διανομής ransomware, κλοπής δεδομένων και άλλων κακόβουλων ενεργειών στον κυβερνοχώρο.
Το SapphireStealer μοιάζει πολύ με άλλα κακόβουλα προγράμματα κλοπής πληροφοριών που έχουν γίνει ολοένα και πιο διαδεδομένα στον σκοτεινό ιστό. Διαθέτει δυνατότητες συλλογής πληροφοριών κεντρικού υπολογιστή, δεδομένων προγράμματος περιήγησης, αρχείων, στιγμιότυπων οθόνης και εξαγωγής αυτών των δεδομένων σε μορφή ZIP μέσω του πρωτοκόλλου απλής μεταφοράς αλληλογραφίας (SMTP).
Ωστόσο, η δωρεάν κυκλοφορία του πηγαίου κώδικα του στα τέλη Δεκεμβρίου 2022 επέτρεψε σε κακόβουλα άτομα να πειραματιστούν με το κακόβουλο λογισμικό, γεγονός που καθιστά δυσκολότερο τον εντοπισμό του. Αυτό περιλαμβάνει την ενσωμάτωση ευέλικτων μεθόδων εξαγωγής δεδομένων χρησιμοποιώντας το Discord webhook ή το Telegram API.
Σύμφωνα με τον Brumaghin, πολλές παραλλαγές αυτής της απειλής κυκλοφορούν ήδη στην άγρια φύση και οι φορείς απειλών συνεχίζουν να βελτιώνουν την αποτελεσματικότητα και την αποτελεσματικότητά της με την πάροδο του χρόνου.
Επιπλέον, ο δημιουργός κακόβουλου λογισμικού δημοσίευσε επίσης ένα πρόγραμμα λήψης κακόβουλου λογισμικού .NET που ονομάζεται FUD-Loader, το οποίο διευκολύνει την ανάκτηση πρόσθετων δυαδικών ωφέλιμων φορτίων από διακομιστές διανομής που ελέγχονται από τους εισβολείς.
Η Talos ανέφερε ότι ανίχνευσε τη χρήση αυτού του προγράμματος λήψης κακόβουλου λογισμικού σε συμβάντα πραγματικού κόσμου για την παροχή εργαλείων απομακρυσμένης διαχείρισης όπως το DCRat, το njRAT, το DarkComet και το Agent Tesla.
Αυτή η αποκάλυψη έρχεται λίγο αφότου η Zscaler κοινοποίησε πληροφορίες σχετικά με ένα άλλο κακόβουλο λογισμικό που κλέβει πληροφορίες με το όνομα Agniane Stealer. Αυτό το κακόβουλο λογισμικό έχει τη δυνατότητα να κλέβει διαπιστευτήρια, πληροφορίες συστήματος, λεπτομέρειες περιόδου λειτουργίας προγράμματος περιήγησης, δεδομένα από το Telegram και το Discord και αρχεία που μεταφέρονται μέσω διαφόρων εργαλείων. Μπορεί επίσης να στοχεύσει δεδομένα που σχετίζονται με περισσότερες από 70 επεκτάσεις κρυπτονομισμάτων και 10 πορτοφόλια. Το Agniane Stealer είναι διαθέσιμο για αγορά με 50 $ το μήνα σε διάφορα φόρουμ σκοτεινού ιστού και σε ένα κανάλι Telegram.
