„SapphireStealer“ tamsiajame žiniatinklyje parduodamas už 50 USD per mėnesį

Kenkėjišką programą, vadinamą SapphireStealer, sukurtą atvirojo kodo .NET pagrindu, naudoja įvairios grupės, siekdamos patobulinti jos funkcionalumą ir kurti pritaikytas versijas pagal savo poreikius.

Remiantis „Cisco Talos“ tyrėjo Edmundo Brumaghino ataskaita, informaciją vagiančios kenkėjiškos programos, tokios kaip „SapphireStealer“, gali gauti neskelbtinų duomenų, pavyzdžiui, įmonės kredencialus. Ši pavogta informacija dažnai parduodama kitiems piktybiniams veikėjams, kurie vėliau ją išnaudoja papildomoms kibernetinėms atakoms, įskaitant veiklą, susijusią su šnipinėjimu, išpirkos programomis ar turto prievartavimu.

„SapphireStealer“ naudojamas kaip atspirties taškas išpirkos reikalaujančių išpuolių atveju

Laikui bėgant susiformavo visapusiška ekosistema, leidžianti tiek finansiškai motyvuotiems kibernetiniams nusikaltėliams, tiek nacionalinių valstybių veikėjams pasinaudoti kenkėjiškų programų kūrėjų teikiamomis paslaugomis, kad būtų galima įvykdyti daugybę kibernetinių atakų. Vadinasi, tokia kenkėjiška programa ne tik reiškia kibernetinio nusikaltimo kaip paslaugos (CaaS) modelio evoliuciją, bet ir suteikia galimybę kitiems grėsmės dalyviams pasipelnyti iš pavogtų duomenų platinant išpirkos reikalaujančią programinę įrangą, duomenų vagystes ir kitas kenkėjiškas kibernetines operacijas.

„SapphireStealer“ labai primena kitas informaciją vagiančias kenkėjiškas programas, kurios vis labiau plinta tamsiajame žiniatinklyje. Jis turi funkcijas, skirtas rinkti pagrindinio kompiuterio informaciją, naršyklės duomenis, failus, ekrano kopijas ir išfiltruoti šiuos duomenis ZIP formatu naudojant paprastą pašto perdavimo protokolą (SMTP).

Tačiau 2022 m. gruodžio pabaigoje nemokamai išleidus šaltinio kodą, kenkėjiški asmenys galėjo eksperimentuoti su kenkėjiška programa, todėl ją buvo sunkiau aptikti. Tai apima lanksčių duomenų išfiltravimo metodų įtraukimą naudojant „Discord Webhook“ arba „Telegram“ API.

Pasak Brumaghino, gamtoje jau sklando keli šios grėsmės variantai, o grėsmės veikėjai laikui bėgant ir toliau tobulina jos efektyvumą ir efektyvumą.

Be to, kenkėjiškų programų autorius taip pat paskelbė .NET kenkėjiškų programų atsisiuntimo programą, pavadintą FUD-Loader, kuri palengvina papildomų dvejetainių naudingųjų apkrovų nuskaitymą iš užpuoliko valdomų platinimo serverių.

Talos pranešė aptikęs šios kenkėjiškų programų parsisiuntimo programos naudojimą realaus pasaulio incidentuose, kad būtų galima pateikti nuotolinio administravimo įrankius, tokius kaip DCRat, njRAT, DarkComet ir Agent Tesla.

Šis atskleidimas paskelbtas netrukus po to, kai Zscaler pasidalino informacija apie kitą informaciją vagiančią kenkėjišką programą, pavadintą Agniane Stealer. Ši kenkėjiška programa gali pavogti kredencialus, sistemos informaciją, išsamią naršyklės seanso informaciją, duomenis iš „Telegram“ ir „Discord“ bei failus, perkeltus naudojant įvairius įrankius. Jis taip pat gali nukreipti duomenis, susijusius su daugiau nei 70 kriptovaliutų plėtinių ir 10 piniginių. Agniane Stealer galima įsigyti už 50 USD per mėnesį įvairiuose tamsiuose interneto forumuose ir „Telegram“ kanale.