SapphireStealer wordt voor $ 50 per maand verkocht op het Dark Web
Een malware bekend als SapphireStealer, gebouwd op het open-source .NET-framework, wordt door verschillende groepen gebruikt om de functionaliteit ervan te verbeteren en aangepaste versies te maken voor hun specifieke behoeften.
Volgens een rapport van Cisco Talos-onderzoeker Edmund Brumaghin is informatiestelende malware zoals SapphireStealer in staat gevoelige gegevens te bemachtigen, zoals bedrijfsreferenties. Deze gestolen informatie wordt vaak verkocht aan andere kwaadwillende actoren die deze vervolgens misbruiken voor nieuwe cyberaanvallen, waaronder activiteiten die verband houden met spionage, ransomware of afpersing.
SapphireStealer gebruikt als springplank voor ransomware-aanvallen
In de loop van de tijd is er een alomvattend ecosysteem ontstaan dat zowel financieel gemotiveerde cybercriminelen als nationale actoren in staat stelt gebruik te maken van de diensten van malwaremakers om een breed scala aan cyberaanvallen uit te voeren. Bijgevolg betekent dergelijke malware niet alleen een evolutie van het cybercrime-as-a-service (CaaS)-model, maar biedt het ook mogelijkheden voor andere bedreigingsactoren om te profiteren van de gestolen gegevens via de distributie van ransomware, gegevensdiefstal en andere kwaadaardige cyberoperaties.
SapphireStealer lijkt sterk op andere informatiestelende malware die steeds vaker voorkomt op het dark web. Het beschikt over functies voor het verzamelen van hostinformatie, browsergegevens, bestanden, schermafbeeldingen en het exfiltreren van deze gegevens in ZIP-formaat via het Simple Mail Transfer Protocol (SMTP).
Door de gratis vrijgave van de broncode eind december 2022 konden kwaadwillenden echter met de malware experimenteren, waardoor deze moeilijker te detecteren was. Dit omvat de integratie van flexibele data-exfiltratiemethoden met behulp van Discord-webhook of Telegram API.
Volgens Brumaghin circuleren er al meerdere varianten van deze dreiging in het wild, en blijven dreigingsactoren de efficiëntie en effectiviteit ervan in de loop van de tijd verfijnen.
Bovendien heeft de malware-auteur ook een .NET-malware-downloader openbaar gemaakt, genaamd FUD-Loader, die het ophalen van extra binaire payloads van door de aanvaller gecontroleerde distributieservers vergemakkelijkt.
Talos meldde dat hij het gebruik van deze malware-downloader bij incidenten in de echte wereld had gedetecteerd om tools voor extern beheer te leveren, zoals DCRat, njRAT, DarkComet en Agent Tesla.
Deze onthulling komt kort nadat Zscaler informatie heeft gedeeld over een andere informatiestelende malware genaamd Agniane Stealer. Deze malware heeft de mogelijkheid om inloggegevens, systeeminformatie, browsersessiegegevens, gegevens van Telegram en Discord en bestanden die via verschillende tools worden overgedragen te stelen. Het kan zich ook richten op gegevens die verband houden met meer dan 70 cryptocurrency-extensies en 10 portemonnees. Agniane Stealer is voor $ 50 per maand te koop op verschillende dark web-forums en een Telegram-kanaal.
