SapphireStealer 在暗網上以每月 50 美元的價格出售
一種名為 SapphireStealer 的惡意軟件基於開源 .NET 框架構建,被各種團體用來增強其功能並根據其特定需求創建自定義版本。
根據 Cisco Talos 研究員 Edmund Brumagin 的一份報告,SapphireStealer 等信息竊取惡意軟件能夠獲取敏感數據,例如公司憑證。這些被盜信息通常會被出售給其他惡意行為者,然後他們利用這些信息進行額外的網絡攻擊,包括與間諜活動、勒索軟件或勒索相關的活動。
SapphireStealer 被用作勒索軟件攻擊的墊腳石
隨著時間的推移,一個全面的生態系統已經出現,允許出於經濟動機的網絡犯罪分子和民族國家行為者利用惡意軟件創建者提供的服務來執行廣泛的網絡攻擊。因此,此類惡意軟件不僅標誌著網絡犯罪即服務(CaaS) 模式的演變,而且還為其他威脅行為者提供了通過勒索軟件分發、數據盜竊和其他惡意網絡操作從被盜數據中獲利的機會。
SapphireStealer 與暗網上日益流行的其他信息竊取惡意軟件非常相似。它具有收集主機信息、瀏覽器數據、文件、屏幕截圖以及通過簡單郵件傳輸協議 (SMTP) 以 ZIP 格式洩露這些數據的功能。
然而,2022 年 12 月下旬免費發布其源代碼,使得惡意個人可以嘗試該惡意軟件,從而使其更難以檢測。這包括使用 Discord webhook 或 Telegram API 結合靈活的數據洩露方法。
布魯馬金表示,這種威脅的多種變體已經在野外傳播,並且隨著時間的推移,威脅行為者不斷提高其效率和有效性。
此外,惡意軟件作者還公開了一個名為 FUD-Loader 的 .NET 惡意軟件下載器,該下載器有助於從攻擊者控制的分發服務器中檢索其他二進制有效負載。
Talos 報告稱,在現實事件中檢測到該惡意軟件下載器的使用,以提供 DCRat、njRAT、DarkComet 和 Agent Tesla 等遠程管理工具。
在此披露之前不久,Zscaler 分享了另一種名為 Agniane Stealer 的信息竊取惡意軟件的信息。該惡意軟件能夠竊取憑據、系統信息、瀏覽器會話詳細信息、來自 Telegram 和 Discord 的數據以及通過各種工具傳輸的文件。它還可以定位與 70 多個加密貨幣擴展和 10 個錢包相關的數據。 Agniane Stealer 可以在各種暗網論壇和 Telegram 頻道上以每月 50 美元的價格購買。