ダークウェブでSapphireStealerが月額50ドルで販売される
オープンソースの .NET フレームワーク上に構築された SapphireStealer として知られるマルウェアは、機能を強化し、特定のニーズに合わせてカスタマイズされたバージョンを作成するために、さまざまなグループによって利用されています。
Cisco Talos の研究者 Edmund Brumaghin のレポートによると、SapphireStealer のような情報窃取マルウェアは、企業の認証情報などの機密データを取得することができます。この盗まれた情報は多くの場合、他の悪意のある攻撃者に販売され、スパイ活動、ランサムウェア、恐喝などのさらなるサイバー攻撃に悪用されます。
SapphireStealerがランサムウェア攻撃の踏み台として利用される
時間が経つにつれ、金銭目的のサイバー犯罪者と国家主体の両方が、マルウェア作成者が提供するサービスを利用して幅広いサイバー攻撃を実行できるようにする包括的なエコシステムが出現しました。したがって、このようなマルウェアは、サービスとしてのサイバー犯罪 (CaaS) モデルの進化を意味するだけでなく、ランサムウェアの配布、データ盗難、その他の悪意のあるサイバー操作を通じて、他の脅威アクターが盗まれたデータから利益を得る機会を提供します。
SapphireStealer は、ダークウェブでますます蔓延している他の情報窃取マルウェアによく似ています。ホスト情報、ブラウザ データ、ファイル、スクリーンショットを収集し、このデータを SMTP (Simple Mail Transfer Protocol) を介して ZIP 形式で抽出する機能を備えています。
しかし、2022 年 12 月下旬にソースコードが無料で公開されたことで、悪意のある個人がマルウェアを実験できるようになり、検出が難しくなりました。これには、Discord Webhook または Telegram API を使用した柔軟なデータ抽出方法の組み込みが含まれます。
Brumaghin 氏によると、この脅威の複数の亜種がすでに世の中に出回っており、攻撃者は時間をかけてその効率と有効性を磨き続けています。
さらに、マルウェア作成者は、攻撃者が制御する配布サーバーからの追加のバイナリ ペイロードの取得を容易にする、FUD-Loader と呼ばれる .NET マルウェア ダウンローダーも公開しました。
Talos は、DCRat、njRAT、DarkComet、Agent Tesla などのリモート管理ツールを提供するために、現実世界のインシデントでこのマルウェア ダウンローダーの使用が検出されたことを報告しました。
この開示は、Zscaler が Agniane Stealer という名前の別の情報窃取マルウェアに関する情報を共有した直後に行われました。このマルウェアは、資格情報、システム情報、ブラウザ セッションの詳細、Telegram や Discord からのデータ、さまざまなツール経由で転送されたファイルを盗む機能を備えています。また、70 を超える暗号通貨拡張機能と 10 のウォレットに関連するデータもターゲットにすることができます。 Agniane Stealer は、さまざまなダークウェブ フォーラムや Telegram チャネルで月額 50 ドルで購入できます。