SapphireStealer selges for $50 per måned på det mørke nettet
En skadelig programvare kjent som SapphireStealer, bygget på åpen kildekode .NET-rammeverket, blir brukt av ulike grupper for å forbedre funksjonaliteten og lage tilpassede versjoner for deres spesifikke behov.
I følge en rapport fra Cisco Talos-forsker Edmund Brumaghin, er informasjonsstjelende skadelig programvare som SapphireStealer i stand til å innhente sensitive data, for eksempel bedriftslegitimasjon. Denne stjålne informasjonen selges ofte til andre ondsinnede aktører som deretter utnytter den til ytterligere cyberangrep, inkludert aktiviteter relatert til spionasje, løsepengeprogramvare eller utpressing.
SapphireStealer Brukes som stepping Stone for Ransomware-angrep
Over tid har det dukket opp et omfattende økosystem som lar både økonomisk motiverte nettkriminelle og nasjonalstatlige aktører utnytte tjenestene levert av skadevareskapere for å utføre et bredt spekter av nettangrep. Følgelig betyr slik skadevare ikke bare en utvikling av cybercrime-as-a-service (CaaS)-modellen, men gir også muligheter for andre trusselaktører til å tjene på de stjålne dataene gjennom distribusjon av løsepenger, datatyveri og andre ondsinnede cyberoperasjoner.
SapphireStealer ligner mye på annen skadelig programvare som stjeler informasjon som har blitt stadig mer utbredt på det mørke nettet. Den har funksjoner for å samle vertsinformasjon, nettleserdata, filer, skjermbilder og eksfiltrering av disse dataene i ZIP-format gjennom Simple Mail Transfer Protocol (SMTP).
Utgivelsen av kildekoden gratis i slutten av desember 2022 har imidlertid gjort det mulig for ondsinnede personer å eksperimentere med skadelig programvare, noe som gjør det vanskeligere å oppdage. Dette inkluderer inkorporering av fleksible dataeksfiltreringsmetoder ved bruk av Discord webhook eller Telegram API.
Ifølge Brumaghin sirkulerer allerede flere varianter av denne trusselen i naturen, og trusselaktører fortsetter å foredle effektiviteten og effektiviteten over tid.
Videre har skadevareforfatteren også offentliggjort en .NET-malware-nedlaster kalt FUD-Loader, som letter gjenfinning av ytterligere binære nyttelaster fra angriperkontrollerte distribusjonsservere.
Talos rapporterte å oppdage bruken av denne malware-nedlasteren i virkelige hendelser for å levere eksterne administrasjonsverktøy som DCRat, njRAT, DarkComet og Agent Tesla.
Denne avsløringen kommer kort tid etter at Zscaler delte informasjon om en annen skadelig programvare som stjeler informasjon ved navn Agniane Stealer. Denne skadelige programvaren har evnen til å stjele legitimasjon, systeminformasjon, nettleserøktdetaljer, data fra Telegram og Discord, og filer overført via ulike verktøy. Den kan også målrette mot data knyttet til over 70 kryptovalutautvidelser og 10 lommebøker. Agniane Stealer er tilgjengelig for kjøp for $50 per måned på forskjellige mørke nettfora og en Telegram-kanal.
