SapphireStealer se vende por 50 dólares al mes en la Dark Web
Varios grupos están utilizando un malware conocido como SapphireStealer, creado en el marco .NET de código abierto, para mejorar su funcionalidad y crear versiones personalizadas para sus necesidades específicas.
Según un informe del investigador de Cisco Talos, Edmund Brumaghin, el malware que roba información como SapphireStealer es capaz de adquirir datos confidenciales, como credenciales corporativas. Esta información robada a menudo se vende a otros actores maliciosos que luego la explotan para realizar ciberataques adicionales, incluidas actividades relacionadas con espionaje, ransomware o extorsión.
SapphireStealer se utiliza como trampolín para ataques de ransomware
Con el tiempo, ha surgido un ecosistema integral que permite tanto a los ciberdelincuentes con motivación financiera como a los actores estatales aprovechar los servicios proporcionados por los creadores de malware para ejecutar una amplia gama de ciberataques. En consecuencia, este tipo de malware no solo significa una evolución del modelo de cibercrimen como servicio (CaaS), sino que también brinda oportunidades para que otros actores de amenazas se beneficien de los datos robados mediante la distribución de ransomware, el robo de datos y otras operaciones cibernéticas maliciosas.
SapphireStealer se parece mucho a otros programas maliciosos de robo de información que se han vuelto cada vez más frecuentes en la web oscura. Posee funciones para recopilar información del host, datos del navegador, archivos, capturas de pantalla y extraer estos datos en formato ZIP a través del Protocolo simple de transferencia de correo (SMTP).
Sin embargo, la publicación de su código fuente de forma gratuita a finales de diciembre de 2022 permitió a personas malintencionadas experimentar con el malware, lo que lo hizo más difícil de detectar. Esto incluye la incorporación de métodos flexibles de exfiltración de datos utilizando el webhook de Discord o la API de Telegram.
Según Brumaghin, ya están circulando múltiples variantes de esta amenaza y los actores de la amenaza continúan perfeccionando su eficiencia y eficacia con el tiempo.
Además, el autor del malware también ha hecho público un descargador de malware .NET llamado FUD-Loader, que facilita la recuperación de cargas binarias adicionales de los servidores de distribución controlados por el atacante.
Talos informó haber detectado el uso de este descargador de malware en incidentes del mundo real para ofrecer herramientas de administración remota como DCRat, njRAT, DarkComet y Agent Tesla.
Esta divulgación se produce poco después de que Zscaler compartiera información sobre otro malware de robo de información llamado Agniane Stealer. Este malware tiene la capacidad de robar credenciales, información del sistema, detalles de la sesión del navegador, datos de Telegram y Discord y archivos transferidos a través de varias herramientas. También puede apuntar a datos asociados con más de 70 extensiones de criptomonedas y 10 billeteras. Agniane Stealer está disponible para su compra por 50 dólares al mes en varios foros de la web oscura y un canal de Telegram.
