SapphireStealer vendido por US$ 50 por mês na Dark Web

Um malware conhecido como SapphireStealer, construído na estrutura .NET de código aberto, está sendo utilizado por vários grupos para aprimorar sua funcionalidade e criar versões personalizadas para suas necessidades específicas.

De acordo com um relatório do pesquisador do Cisco Talos, Edmund Brumaghin, malwares que roubam informações, como o SapphireStealer, são capazes de adquirir dados confidenciais, como credenciais corporativas. Estas informações roubadas são frequentemente vendidas a outros agentes maliciosos que as exploram para ataques cibernéticos adicionais, incluindo atividades relacionadas com espionagem, ransomware ou extorsão.

SapphireStealer usado como trampolim para ataques de ransomware

Com o tempo, surgiu um ecossistema abrangente que permite que tanto os cibercriminosos com motivação financeira como os intervenientes estatais aproveitem os serviços fornecidos pelos criadores de malware para executar uma vasta gama de ataques cibernéticos. Consequentemente, esse malware não só significa uma evolução do modelo de crime cibernético como serviço (CaaS), mas também oferece oportunidades para outros agentes de ameaças lucrar com os dados roubados através da distribuição de ransomware, roubo de dados e outras operações cibernéticas maliciosas.

O SapphireStealer se assemelha muito a outros malwares de roubo de informações que se tornaram cada vez mais predominantes na dark web. Possui recursos para coletar informações do host, dados do navegador, arquivos, capturas de tela e exfiltrar esses dados em formato ZIP por meio do Simple Mail Transfer Protocol (SMTP).

No entanto, o lançamento gratuito do seu código-fonte no final de dezembro de 2022 permitiu que indivíduos mal-intencionados experimentassem o malware, tornando-o mais difícil de detectar. Isso inclui a incorporação de métodos flexíveis de exfiltração de dados usando o webhook do Discord ou a API do Telegram.

De acordo com Brumaghin, múltiplas variantes desta ameaça já estão a circular na natureza e os agentes da ameaça continuam a refinar a sua eficiência e eficácia ao longo do tempo.

Além disso, o autor do malware também tornou público um downloader de malware .NET chamado FUD-Loader, que facilita a recuperação de cargas binárias adicionais de servidores de distribuição controlados pelo invasor.

Talos relatou ter detectado o uso deste downloader de malware em incidentes do mundo real para fornecer ferramentas de administração remota como DCRat, njRAT, DarkComet e Agent Tesla.

Esta divulgação ocorre logo depois que Zscaler compartilhou informações sobre outro malware de roubo de informações chamado Agniane Stealer. Este malware tem a capacidade de roubar credenciais, informações do sistema, detalhes da sessão do navegador, dados do Telegram e Discord e arquivos transferidos por meio de diversas ferramentas. Ele também pode direcionar dados associados a mais de 70 extensões de criptomoeda e 10 carteiras. Agniane Stealer está disponível para compra por US$ 50 por mês em vários fóruns da dark web e em um canal do Telegram.