Киберпреступники используют возможности с открытым исходным кодом infostealer под названием «SapphireStealer», разрабатывающий множество вариантов, которые помогают демократизировать ландшафт киберпреступности, когда дело доходит до проведения атак с целью кражи данных.
С тех пор, как в конце прошлого года русскоязычный хакер по имени Роман Маслов впервые опубликовал его в публичной сети, хакеры начали использовать SapphireStealer, возиться с ним и выпускать новые версии в публичные репозитории. Это создало усиливающую петлю обратной связи, в которой вредоносное ПО становится все сильнее, и к нему привлекается все больше злоумышленников, что потенциально может привести к более опасным последствиям в дальнейшем.
«У вас есть большая группа злоумышленников, которые заинтересованы в краже учетных данных, токенов доступа, имен пользователей и паролей», — говорит Эдмунд Брумагин, исследователь угроз Cisco Talos, который 31 августа опубликовал сообщение в блоге о SapphireStealer и его многочисленных участниках. «Затем они монетизируют эти данные, что может привести к более опасным типам атак».
Что такое SapphireStealer?
В Рождество 2022 года дети со всего мира побежали вниз, чтобы открыть подарки от Санты. Партнеры открыли подарки от своих близких. А на GitHub киберпреступникам приготовили собственный подарок: «Простой стиллер [sic] с отправкой логов на ваш EMAIL», любезно предоставленный r3vengerx0 (Маслов).
«Стиллер» (стилер) был написан на .NET и доступен для скачивания любому желающему. Простой, но эффективный, он дал даже нетехническим хакерам возможность получать файлы в самых популярных форматах — .pdf, .doc, .jpg и т. д., а также снимки экрана и учетные данные из браузеров Chromium, таких как Google Chrome, Microsoft Edge и т. д. и Яндекс. Он просто упаковал эту информацию в электронное письмо и отправил злоумышленникам вместе с различной информацией о целевой машине: IP-адресом, версией ОС и т. д. Наконец, после эксфильтрации SapphireStealer удаляет доказательства своей активности и завершает работу.
Все это было хорошо, но, как и в случае со списком r3vengerx0 на GitHub, здесь были некоторые нюансы, над которыми нужно было работать. «Происходил какой-то лишний поток выполнения кода — лишние инструкции, которые были не совсем такими, как можно было бы ожидать от эффективной кодовой базы. В некоторых местах кода также были опечатки», — объясняет Брумагин.
Ситуация начала меняться примерно с середины января.
Как развивался SapphireStealer
Вскоре после праздников начали появляться новые варианты SapphireStealer, которые очистили (если не существенно рефакторили) код и улучшили его основные функции. Например, в некоторых вариантах был расширен список форматов файлов, которые SapphireStealer мог использовать.
Другой вариант заменил функцию электронной почты API веб-перехватчика Discord. Появилось несколько других с возможностью предупреждать злоумышленников о новых заражениях, передавая данные журнала через Telegram API.
В первой половине 2023 года SapphireStealer стал более надежным, многогранным и опасным, но при этом более доступным. «Барьер для входа в сферу кражи информации продолжает снижаться с появлением воров с открытым исходным кодом, таких как SapphireStealer. Вам не нужно знать, как программировать. Вам не нужно знать операционную безопасность или что-то в этом роде», — говорит Брумагин.
По мере роста и распространения SapphireStealer он может легко сделать возможным более серьезные атаки на более крупные предприятия.
«Организация может не рассматривать угрозу кражи информации на том же уровне, что и другую угрозу, например, программу-вымогатель», — объясняет Брумагин. «Но они часто являются предшественниками таких вещей, как программы-вымогатели и шпионаж, потому что злоумышленник получит учетные данные с помощью похитителя информации, а затем монетизирует их, продавая их другим злоумышленникам, которые затем могут использовать этот доступ для проведения действий после компрометации, работая для достижения некоторых из своих долгосрочных целей миссии».
Он заключает: «Организации должны осознавать эти отношения. Эти угрозы во многих отношениях становятся все более взаимосвязанными, поскольку экономика киберпреступности продолжает развиваться и расти».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- ЧартПрайм. Улучшите свою торговую игру с ChartPrime. Доступ здесь.
- Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
- Источник: https://www.darkreading.com/threat-intelligence/cybercriminals-team-up-upgrade-sapphirestealer-malware
- :имеет
- :является
- :нет
- :куда
- $UP
- 2022
- 2023
- 31
- 7
- a
- способность
- О нас
- доступ
- доступной
- через
- активно
- деятельность
- актеры
- адрес
- Принятие
- После
- Оповещение
- Все
- вдоль
- причислены
- an
- и
- Другой
- кто угодно
- все
- API
- МЫ
- около
- AS
- At
- нападки
- август
- знать
- назад
- барьер
- BE
- стали
- , так как:
- становление
- было
- начал
- не являетесь
- Блог
- браузеры
- но
- by
- под названием
- CAN
- возможности
- проведение
- определенный
- изменение
- Дети
- рождество
- Chrome
- хром
- Cisco
- код
- Codebase
- выходит
- Проводить
- Последствия
- продолжается
- вкладчики
- Основные
- может
- создали
- Полномочия
- киберпреступности
- киберпреступники
- опасно
- данным
- день
- снижение
- демократизировать
- развивающийся
- раздор
- Дон
- скачать
- рисовать
- обращается
- легко
- экономику
- Edge
- Эффективный
- эффективный
- появляться
- включить
- предприятий
- запись
- ошибки
- шпионаж
- и т.д
- Даже
- , поскольку большинство сенаторов
- точно,
- пример
- выполнение
- ожидать
- Объясняет
- Обратная связь
- Файл
- Файлы
- в заключение
- First
- поток
- Что касается
- Бесплатно
- от
- функция
- функциональность
- получающий
- подарки
- GitHub
- хорошо
- Google Chrome
- захват
- группы
- Расти
- Растет
- хакер
- Хакеры
- Половина
- Есть
- помощь
- каникулы
- Как
- How To
- HTTPS
- if
- улучшенный
- in
- инфекции
- информация
- инструкции
- заинтересованный
- в
- Введение
- IP
- IP-адрес
- IT
- ЕГО
- JPG
- Знать
- пейзаж
- большой
- больше
- Фамилия
- В прошлом году
- Поздно
- вести
- ведущий
- легион
- позволять
- уровень
- такое как
- Список
- листинг
- журнал
- серия
- машина
- вредоносных программ
- многих
- зрелый
- Microsoft
- Microsoft Edge
- может быть
- Горнодобывающая промышленность
- Наша миссия
- монетизировать
- БОЛЕЕ
- самых
- Самые популярные
- многогранный
- Названный
- Необходимость
- сеть
- Новые
- нетехнических
- целей
- получать
- of
- .
- on
- на
- открытый
- с открытым исходным кодом
- открытый
- оперативный
- or
- организация
- организации
- OS
- Другое
- Другое
- внешний
- собственный
- в упаковке
- партнеры
- пароли
- Часть
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пунктов
- Популярное
- потенциально
- предшественник
- представить
- разрабатывает
- что такое варган?
- опубликованный
- вымогателей
- RE
- отношения
- выпуска
- заменить
- исследователь
- надежный
- s
- то же
- Санта-
- сообщили
- говорит
- скриншоты
- безопасность
- продажа
- отправка
- послать
- серьезный
- несколько
- значительный
- существенно
- просто
- просто
- с
- So
- некоторые
- Источник
- Спреды
- и политические лидеры
- Начало
- сильнее
- с
- Талос
- целевое
- команда
- Telegram
- который
- Ассоциация
- мир
- их
- Их
- тогда
- Там.
- Эти
- они
- вещи
- этой
- те
- угроза
- актеры угрозы
- угрозы
- в
- Лексемы
- к
- лечить
- Типы
- модернизация
- использование
- Вариант
- различный
- Ve
- версия
- версии
- с помощью
- законопроект
- способы
- Web
- ЧТО Ж
- были
- разве
- Что
- когда
- который
- КТО
- будете
- Работа
- разрабатывать
- работает
- Мир
- бы
- письменный
- год
- Ты
- ВАШЕ
- зефирнет