SapphireStealer säljs för $50 per månad på den mörka webben

En skadlig programvara känd som SapphireStealer, byggd på .NET-ramverket med öppen källkod, används av olika grupper för att förbättra dess funktionalitet och skapa anpassade versioner för deras specifika behov.

Enligt en rapport från Cisco Talos-forskaren Edmund Brumaghin kan skadlig programvara som stjäl information som SapphireStealer skaffa känslig data, såsom företagsuppgifter. Denna stulna information säljs ofta till andra illvilliga aktörer som sedan utnyttjar den för ytterligare cyberattacker, inklusive aktiviteter relaterade till spionage, ransomware eller utpressning.

SapphireStealer Används som språngbräda för Ransomware-attacker

Med tiden har ett omfattande ekosystem vuxit fram som gör det möjligt för både ekonomiskt motiverade cyberbrottslingar och nationalstatliga aktörer att utnyttja de tjänster som tillhandahålls av skapare av skadlig programvara för att utföra ett brett utbud av cyberattacker. Följaktligen betyder sådan skadlig programvara inte bara en utveckling av modellen för cyberbrott som en tjänst (CaaS) utan ger också möjligheter för andra hotaktörer att dra nytta av den stulna informationen genom distribution av ransomware, datastöld och andra skadliga cyberoperationer.

SapphireStealer liknar mycket annan skadlig programvara som stjäl information som har blivit allt vanligare på den mörka webben. Den har funktioner för att samla in värdinformation, webbläsardata, filer, skärmdumpar och exfiltrera dessa data i ZIP-format genom Simple Mail Transfer Protocol (SMTP).

Men frisläppandet av dess källkod gratis i slutet av december 2022 har gjort det möjligt för illvilliga individer att experimentera med skadlig programvara, vilket gör det svårare att upptäcka. Detta inkluderar inkorporering av flexibla dataexfiltreringsmetoder med Discord webhook eller Telegram API.

Enligt Brumaghin cirkulerar redan flera varianter av detta hot i naturen, och hotaktörer fortsätter att förfina dess effektivitet och effektivitet över tiden.

Dessutom har författaren av skadlig programvara också offentliggjort en .NET-nedladdare av skadlig kod som heter FUD-Loader, som underlättar hämtning av ytterligare binära nyttolaster från angriparkontrollerade distributionsservrar.

Talos rapporterade att de upptäckte användningen av denna nedladdningsbara programvara i verkliga incidenter för att leverera fjärradministrationsverktyg som DCRat, njRAT, DarkComet och Agent Tesla.

Detta avslöjande kommer kort efter att Zscaler delade information om en annan informationsstjäl skadlig programvara som heter Agniane Stealer. Denna skadliga programvara har förmågan att stjäla referenser, systeminformation, webbläsarsessionsdetaljer, data från Telegram och Discord och filer som överförs via olika verktyg. Den kan också rikta in sig på data associerad med över 70 kryptovalutatillägg och 10 plånböcker. Agniane Stealer finns att köpa för $50 per månad på olika mörka webbforum och en Telegram-kanal.