SapphireStealer venduto per $ 50 al mese sul Dark Web

Un malware noto come SapphireStealer, basato sul framework .NET open source, viene utilizzato da vari gruppi per migliorare le sue funzionalità e creare versioni personalizzate per le loro esigenze specifiche.

Secondo un rapporto del ricercatore di Cisco Talos Edmund Brumaghin, malware che rubano informazioni come SapphireStealer sono in grado di acquisire dati sensibili, come le credenziali aziendali. Queste informazioni rubate vengono spesso vendute ad altri attori malintenzionati che poi le sfruttano per ulteriori attacchi informatici, comprese attività legate allo spionaggio, al ransomware o all'estorsione.

SapphireStealer utilizzato come trampolino di lancio per gli attacchi ransomware

Nel corso del tempo è emerso un ecosistema completo che consente sia ai criminali informatici motivati dal punto di vista finanziario che agli attori statali di sfruttare i servizi forniti dai creatori di malware per eseguire un’ampia gamma di attacchi informatici. Di conseguenza, tale malware non solo rappresenta un’evoluzione del modello del crimine informatico come servizio (CaaS), ma offre anche opportunità ad altri autori di minacce di trarre profitto dai dati rubati attraverso la distribuzione di ransomware, il furto di dati e altre operazioni informatiche dannose.

SapphireStealer somiglia molto ad altri malware che rubano informazioni e che sono diventati sempre più diffusi nel dark web. Possiede funzionalità per raccogliere informazioni sull'host, dati del browser, file, schermate ed estrarre questi dati in formato ZIP tramite il protocollo SMTP (Simple Mail Transfer Protocol).

Tuttavia, il rilascio gratuito del codice sorgente alla fine di dicembre 2022 ha consentito a soggetti malintenzionati di sperimentare il malware, rendendone più difficile il rilevamento. Ciò include l'incorporazione di metodi flessibili di esfiltrazione dei dati utilizzando il webhook Discord o l'API Telegram.

Secondo Brumaghin, molteplici varianti di questa minaccia stanno già circolando e gli autori delle minacce continuano a perfezionarne l’efficienza e l’efficacia nel tempo.

Inoltre, l'autore del malware ha anche reso pubblico un downloader di malware .NET chiamato FUD-Loader, che facilita il recupero di ulteriori payload binari dai server di distribuzione controllati dagli aggressori.

Talos ha riferito di aver rilevato l'uso di questo downloader di malware in incidenti reali per fornire strumenti di amministrazione remota come DCRat, njRAT, DarkComet e Agent Tesla.

Questa divulgazione arriva poco dopo che Zscaler ha condiviso informazioni su un altro malware che ruba informazioni denominato Agniane Stealer. Questo malware ha la capacità di rubare credenziali, informazioni di sistema, dettagli della sessione del browser, dati da Telegram e Discord e file trasferiti tramite vari strumenti. Può anche prendere di mira i dati associati a oltre 70 estensioni di criptovaluta e 10 portafogli. Agniane Stealer è disponibile per l'acquisto per $ 50 al mese su vari forum del dark web e su un canale Telegram.