SapphireStealer продается в даркнете за 50 долларов в месяц

Вредоносное ПО, известное как SapphireStealer, созданное на основе платформы .NET с открытым исходным кодом, используется различными группами для расширения его функциональности и создания индивидуальных версий для своих конкретных нужд.

Согласно отчету исследователя Cisco Talos Эдмунда Брумагина, вредоносное ПО для кражи информации, такое как SapphireStealer, способно получать конфиденциальные данные, например корпоративные учетные данные. Эта украденная информация часто продается другим злоумышленникам, которые затем используют ее для дополнительных кибератак, включая действия, связанные со шпионажем, программами-вымогателями или вымогательством.

SapphireStealer используется как трамплин для атак программ-вымогателей

Со временем возникла всеобъемлющая экосистема, которая позволяет как финансово мотивированным киберпреступникам, так и государственным субъектам использовать услуги, предоставляемые создателями вредоносного ПО, для выполнения широкого спектра кибератак. Следовательно, такое вредоносное ПО не только означает эволюцию модели «киберпреступность как услуга» (CaaS), но также предоставляет возможность другим субъектам угроз получать прибыль от украденных данных посредством распространения программ-вымогателей, кражи данных и других вредоносных киберопераций.

SapphireStealer очень похож на другие вредоносные программы для кражи информации, которые становятся все более распространенными в темной сети. Он обладает функциями для сбора информации об хосте, данных браузера, файлов, снимков экрана и извлечения этих данных в формате ZIP через простой протокол передачи почты (SMTP).

Однако бесплатный выпуск исходного кода в конце декабря 2022 года позволил злоумышленникам экспериментировать с вредоносным ПО, что усложнило его обнаружение. Это включает в себя использование гибких методов эксфильтрации данных с использованием веб-перехватчика Discord или Telegram API.

По словам Брумагина, несколько вариантов этой угрозы уже циркулируют в дикой природе, и злоумышленники со временем продолжают совершенствовать ее эффективность и результативность.

Кроме того, автор вредоносного ПО также обнародовал загрузчик вредоносного ПО .NET под названием FUD-Loader, который облегчает получение дополнительных двоичных полезных данных с серверов распространения, контролируемых злоумышленниками.

Talos сообщила об обнаружении использования этого загрузчика вредоносного ПО в реальных инцидентах для доставки инструментов удаленного администрирования, таких как DCRat, njRAT, DarkComet и Agent Tesla.

Это раскрытие произошло вскоре после того, как Zscaler поделился информацией о другом вредоносном ПО для кражи информации под названием Agniane Stealer. Это вредоносное ПО способно похищать учетные данные, системную информацию, данные сеанса браузера, данные из Telegram и Discord, а также файлы, переданные с помощью различных инструментов. Он также может ориентироваться на данные, связанные с более чем 70 расширениями криптовалют и 10 кошельками. Agniane Stealer можно приобрести за 50 долларов в месяц на различных форумах даркнета и в Telegram-канале.