SapphireStealer 在暗网上以每月 50 美元的价格出售
一种名为 SapphireStealer 的恶意软件基于开源 .NET 框架构建,被各种团体用来增强其功能并根据其特定需求创建自定义版本。
根据 Cisco Talos 研究员 Edmund Brumagin 的一份报告,SapphireStealer 等信息窃取恶意软件能够获取敏感数据,例如公司凭证。这些被盗信息通常会被出售给其他恶意行为者,然后他们利用这些信息进行额外的网络攻击,包括与间谍活动、勒索软件或勒索相关的活动。
SapphireStealer 被用作勒索软件攻击的垫脚石
随着时间的推移,一个全面的生态系统已经出现,允许出于经济动机的网络犯罪分子和民族国家行为者利用恶意软件创建者提供的服务来执行广泛的网络攻击。因此,此类恶意软件不仅标志着网络犯罪即服务 (CaaS) 模式的演变,而且还为其他威胁行为者提供了通过勒索软件分发、数据盗窃和其他恶意网络操作从被盗数据中获利的机会。
SapphireStealer 与暗网上日益流行的其他信息窃取恶意软件非常相似。它具有收集主机信息、浏览器数据、文件、屏幕截图以及通过简单邮件传输协议 (SMTP) 以 ZIP 格式泄露这些数据的功能。
然而,2022 年 12 月下旬免费发布其源代码,使得恶意个人可以尝试该恶意软件,从而使其更难以检测。这包括使用 Discord webhook 或 Telegram API 结合灵活的数据泄露方法。
布鲁马金表示,这种威胁的多种变体已经在野外传播,并且威胁行为者随着时间的推移不断提高其效率和有效性。
此外,恶意软件作者还公开了一个名为 FUD-Loader 的 .NET 恶意软件下载器,该下载器有助于从攻击者控制的分发服务器中检索其他二进制有效负载。
Talos 报告称,在现实事件中检测到该恶意软件下载器的使用,以提供 DCRat、njRAT、DarkComet 和 Agent Tesla 等远程管理工具。
在此披露之前不久,Zscaler 分享了另一种名为 Agniane Stealer 的信息窃取恶意软件的信息。该恶意软件能够窃取凭据、系统信息、浏览器会话详细信息、来自 Telegram 和 Discord 的数据以及通过各种工具传输的文件。它还可以定位与 70 多个加密货币扩展和 10 个钱包相关的数据。 Agniane Stealer 可以在各种暗网论坛和 Telegram 频道上以每月 50 美元的价格购买。