SapphireStealer sprzedawany za 50 dolarów miesięcznie w ciemnej sieci

Szkodnik znany jako SapphireStealer, zbudowany na platformie .NET o otwartym kodzie źródłowym, jest wykorzystywany przez różne grupy w celu ulepszania jego funkcjonalności i tworzenia wersji dostosowanych do ich konkretnych potrzeb.

Według raportu Edmunda Brumaghina, badacza Cisco Talos, złośliwe oprogramowanie kradnące informacje, takie jak SapphireStealer, jest w stanie pozyskać wrażliwe dane, takie jak dane uwierzytelniające firmowe. Te skradzione informacje są często sprzedawane innym złośliwym podmiotom, które następnie wykorzystują je do dodatkowych cyberataków, w tym do działań związanych ze szpiegostwem, oprogramowaniem ransomware lub wymuszeniami.

SapphireStealer używany jako odskocznia w atakach ransomware

Z biegiem czasu wyłonił się kompleksowy ekosystem, który umożliwia zarówno cyberprzestępcom motywowanym finansowo, jak i podmiotom z państw narodowych wykorzystywanie usług świadczonych przez twórców szkodliwego oprogramowania do przeprowadzania szerokiego zakresu cyberataków. W rezultacie takie złośliwe oprogramowanie nie tylko oznacza ewolucję modelu cyberprzestępczości jako usługi (CaaS), ale także zapewnia innym podmiotom zagrażającym możliwości czerpania korzyści z skradzionych danych w drodze dystrybucji oprogramowania ransomware, kradzieży danych i innych złośliwych operacji cybernetycznych.

SapphireStealer bardzo przypomina inne złośliwe oprogramowanie kradnące informacje, które staje się coraz bardziej powszechne w ciemnej sieci. Posiada funkcje gromadzenia informacji o hoście, danych przeglądarki, plików, zrzutów ekranu i eksfiltracji tych danych w formacie ZIP za pośrednictwem protokołu Simple Mail Transfer Protocol (SMTP).

Jednak bezpłatne udostępnienie kodu źródłowego pod koniec grudnia 2022 r. umożliwiło złośliwym osobom eksperymentowanie ze złośliwym oprogramowaniem, co utrudniło jego wykrycie. Obejmuje to zastosowanie elastycznych metod wydobywania danych przy użyciu webhooka Discord lub API Telegramu.

Według Brumaghina w środowisku naturalnym krąży już wiele wariantów tego zagrożenia, a podmioty zagrażające z biegiem czasu stale udoskonalają jego skuteczność i skuteczność.

Co więcej, autor szkodliwego oprogramowania udostępnił także narzędzie do pobierania złośliwego oprogramowania .NET o nazwie FUD-Loader, które ułatwia pobieranie dodatkowych ładunków binarnych z serwerów dystrybucyjnych kontrolowanych przez osoby atakujące.

Talos zgłosił wykrycie użycia tego narzędzia do pobierania złośliwego oprogramowania w rzeczywistych incydentach w celu dostarczania narzędzi do zdalnej administracji, takich jak DCRat, njRAT, DarkComet i Agent Tesla.

Ujawnienie to następuje wkrótce po udostępnieniu przez firmę Zscaler informacji o innym złośliwym oprogramowaniu kradnącym informacje o nazwie Agniane Stealer. To złośliwe oprogramowanie potrafi kraść dane uwierzytelniające, informacje o systemie, szczegóły sesji przeglądarki, dane z Telegramu i Discorda oraz pliki przesyłane za pomocą różnych narzędzi. Może także atakować dane powiązane z ponad 70 rozszerzeniami kryptowalut i 10 portfelami. Agniane Stealer można kupić za 50 dolarów miesięcznie na różnych forach w ciemnej sieci i na kanale Telegram.