A SapphireStealer havi 50 dollárért eladó a sötét weben

A nyílt forráskódú .NET keretrendszerre épülő SapphireStealer néven ismert rosszindulatú programot különböző csoportok használják fel funkcionalitásának javítására és egyedi igényeiknek megfelelő testreszabott verziók létrehozására.

A Cisco Talos kutatója, Edmund Brumaghin jelentése szerint az olyan információlopó kártevők, mint a SapphireStealer, képesek érzékeny adatok, például vállalati hitelesítő adatok megszerzésére. Ezt az ellopott információt gyakran eladják más rosszindulatú szereplőknek, akik további kibertámadásokra használják fel, beleértve a kémkedéshez, zsarolóprogramokhoz vagy zsaroláshoz kapcsolódó tevékenységeket.

A SapphireStealer lépcsőfokként használható zsarolóvírus-támadásokhoz

Idővel egy átfogó ökoszisztéma alakult ki, amely lehetővé teszi mind a pénzügyileg motivált kiberbűnözők, mind a nemzetállami szereplők számára, hogy kihasználják a rosszindulatú programok készítői által nyújtott szolgáltatásokat a kibertámadások széles körének végrehajtására. Következésképpen az ilyen rosszindulatú programok nemcsak a kiberbűnözés, mint szolgáltatás (CaaS) modell fejlődését jelzik, hanem lehetőséget biztosítanak más fenyegetés szereplői számára is, hogy zsarolóvírus-terjesztés, adatlopás és egyéb rosszindulatú kiberműveletek révén profitáljanak az ellopott adatokból.

A SapphireStealer nagyon hasonlít más információlopó kártevőkre, amelyek egyre inkább elterjedtek a sötét weben. Rendelkezik a gazdagépre vonatkozó információk, böngészőadatok, fájlok, képernyőképek összegyűjtésére és ezen adatok ZIP formátumban történő kiszűrésére az SMTP (Simple Mail Transfer Protocol) protokollon keresztül.

A forráskód 2022. december végén történő ingyenes kiadása azonban lehetővé tette a rosszindulatú személyek számára, hogy kísérletezzenek a kártevővel, ami megnehezítette annak észlelését. Ez magában foglalja a rugalmas adatkiszűrési módszerek beépítését a Discord webhook vagy a Telegram API használatával.

Brumaghin szerint ennek a fenyegetésnek már több változata kering a vadonban, és a fenyegetés szereplői idővel tovább finomítják a hatékonyságát és eredményességét.

Továbbá a kártevő szerzője nyilvánosságra hozott egy FUD-Loader nevű .NET-es kártevő-letöltőt is, amely megkönnyíti a támadók által vezérelt terjesztési szerverekről további bináris terhelések lekérését.

Talos arról számolt be, hogy észlelte ennek a kártevő-letöltőnek a használatát valós incidensek során olyan távoli adminisztrációs eszközök szállítására, mint a DCRat, njRAT, DarkComet és Agent Tesla.

Ez a nyilvánosságra hozatal röviddel azután érkezett, hogy Zscaler egy másik információlopó, Agniane Stealer nevű rosszindulatú programról osztott meg információkat. Ez a rosszindulatú program képes ellopni a hitelesítő adatokat, a rendszerinformációkat, a böngésző-munkamenet részleteit, a Telegram és a Discord adatait, valamint a különféle eszközökön keresztül továbbított fájlokat. Ezenkívül több mint 70 kriptovaluta-bővítményhez és 10 pénztárcához kapcsolódó adatokat is megcélozhat. Az Agniane Stealer havi 50 dollárért megvásárolható különféle sötét webes fórumokon és egy Telegram csatornán.