SapphireStealer vendu 50 $ par mois sur le Dark Web

Un malware connu sous le nom de SapphireStealer, construit sur le framework open source .NET, est utilisé par divers groupes pour améliorer ses fonctionnalités et créer des versions personnalisées adaptées à leurs besoins spécifiques.

Selon un rapport d'Edmund Brumaghin, chercheur chez Cisco Talos, les logiciels malveillants voleurs d'informations comme SapphireStealer sont capables d'acquérir des données sensibles, telles que les informations d'identification de l'entreprise. Ces informations volées sont souvent vendues à d'autres acteurs malveillants qui les exploitent ensuite pour lancer d'autres cyberattaques, notamment des activités liées à l'espionnage, aux ransomwares ou à l'extorsion.

SapphireStealer utilisé comme tremplin pour les attaques de ransomwares

Au fil du temps, un écosystème complet a émergé qui permet aux cybercriminels motivés par des raisons financières et aux acteurs étatiques d’exploiter les services fournis par les créateurs de logiciels malveillants pour exécuter un large éventail de cyberattaques. Par conséquent, ces logiciels malveillants représentent non seulement une évolution du modèle de cybercriminalité en tant que service (CaaS), mais offrent également à d’autres acteurs malveillants la possibilité de profiter des données volées via la distribution de ransomwares, le vol de données et d’autres cyberopérations malveillantes.

SapphireStealer ressemble beaucoup à d’autres logiciels malveillants voleurs d’informations qui sont de plus en plus répandus sur le dark web. Il possède des fonctionnalités permettant de collecter des informations sur l'hôte, des données de navigateur, des fichiers, des captures d'écran et d'exfiltrer ces données au format ZIP via le Simple Mail Transfer Protocol (SMTP).

Cependant, la publication gratuite de son code source fin décembre 2022 a permis à des individus malveillants d’expérimenter le malware, le rendant ainsi plus difficile à détecter. Cela inclut l'incorporation de méthodes flexibles d'exfiltration de données à l'aide du webhook Discord ou de l'API Telegram.

Selon Brumaghin, de multiples variantes de cette menace circulent déjà dans la nature, et les acteurs de la menace continuent d’affiner son efficience et son efficacité au fil du temps.

En outre, l'auteur du malware a également rendu public un téléchargeur de malware .NET appelé FUD-Loader, qui facilite la récupération de charges utiles binaires supplémentaires à partir de serveurs de distribution contrôlés par des attaquants.

Talos a signalé avoir détecté l'utilisation de ce téléchargeur de logiciels malveillants dans des incidents réels pour fournir des outils d'administration à distance tels que DCRat, njRAT, DarkComet et Agent Tesla.

Cette divulgation intervient peu de temps après que Zscaler a partagé des informations sur un autre malware voleur d'informations nommé Agniane Stealer. Ce malware a la capacité de voler les informations d'identification, les informations système, les détails de la session du navigateur, les données de Telegram et Discord et les fichiers transférés via divers outils. Il peut également cibler les données associées à plus de 70 extensions de crypto-monnaie et 10 portefeuilles. Agniane Stealer est disponible à l'achat pour 50 $ par mois sur divers forums du dark web et sur une chaîne Telegram.