Киберпреступники объединяются для обновления вредоносного ПО SapphireStealer

Киберпреступники используют возможности с открытым исходным кодом infostealer под названием «SapphireStealer», разрабатывающий множество вариантов, которые помогают демократизировать ландшафт киберпреступности, когда дело доходит до проведения атак с целью кражи данных. 

С тех пор, как в конце прошлого года русскоязычный хакер по имени Роман Маслов впервые опубликовал его в публичной сети, хакеры начали использовать SapphireStealer, возиться с ним и выпускать новые версии в публичные репозитории. Это создало усиливающую петлю обратной связи, в которой вредоносное ПО становится все сильнее, и к нему привлекается все больше злоумышленников, что потенциально может привести к более опасным последствиям в дальнейшем.

«У вас есть большая группа злоумышленников, которые заинтересованы в краже учетных данных, токенов доступа, имен пользователей и паролей», — говорит Эдмунд Брумагин, исследователь угроз Cisco Talos, который 31 августа опубликовал сообщение в блоге о SapphireStealer и его многочисленных участниках. «Затем они монетизируют эти данные, что может привести к более опасным типам атак».

Что такое SapphireStealer?

В Рождество 2022 года дети со всего мира побежали вниз, чтобы открыть подарки от Санты. Партнеры открыли подарки от своих близких. А на GitHub киберпреступникам приготовили собственный подарок: «Простой стиллер [sic] с отправкой логов на ваш EMAIL», любезно предоставленный r3vengerx0 (Маслов).

«Стиллер» (стилер) был написан на .NET и доступен для скачивания любому желающему. Простой, но эффективный, он дал даже нетехническим хакерам возможность получать файлы в самых популярных форматах — .pdf, .doc, .jpg и т. д., а также снимки экрана и учетные данные из браузеров Chromium, таких как Google Chrome, Microsoft Edge и т. д. и Яндекс. Он просто упаковал эту информацию в электронное письмо и отправил злоумышленникам вместе с различной информацией о целевой машине: IP-адресом, версией ОС и т. д. Наконец, после эксфильтрации SapphireStealer удаляет доказательства своей активности и завершает работу.

Все это было хорошо, но, как и в случае со списком r3vengerx0 на GitHub, здесь были некоторые нюансы, над которыми нужно было работать. «Происходил какой-то лишний поток выполнения кода — лишние инструкции, которые были не совсем такими, как можно было бы ожидать от эффективной кодовой базы. В некоторых местах кода также были опечатки», — объясняет Брумагин.

Ситуация начала меняться примерно с середины января.

Как развивался SapphireStealer

Вскоре после праздников начали появляться новые варианты SapphireStealer, которые очистили (если не существенно рефакторили) код и улучшили его основные функции. Например, в некоторых вариантах был расширен список форматов файлов, которые SapphireStealer мог использовать.

Другой вариант заменил функцию электронной почты API веб-перехватчика Discord. Появилось несколько других с возможностью предупреждать злоумышленников о новых заражениях, передавая данные журнала через Telegram API.

В первой половине 2023 года SapphireStealer стал более надежным, многогранным и опасным, но при этом более доступным. «Барьер для входа в сферу кражи информации продолжает снижаться с появлением воров с открытым исходным кодом, таких как SapphireStealer. Вам не нужно знать, как программировать. Вам не нужно знать операционную безопасность или что-то в этом роде», — говорит Брумагин.

По мере роста и распространения SapphireStealer он может легко сделать возможным более серьезные атаки на более крупные предприятия. 

«Организация может не рассматривать угрозу кражи информации на том же уровне, что и другую угрозу, например, программу-вымогатель», — объясняет Брумагин. «Но они часто являются предшественниками таких вещей, как программы-вымогатели и шпионаж, потому что злоумышленник получит учетные данные с помощью похитителя информации, а затем монетизирует их, продавая их другим злоумышленникам, которые затем могут использовать этот доступ для проведения действий после компрометации, работая для достижения некоторых из своих долгосрочных целей миссии».

Он заключает: «Организации должны осознавать эти отношения. Эти угрозы во многих отношениях становятся все более взаимосвязанными, поскольку экономика киберпреступности продолжает развиваться и расти».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• ЧартПрайм. Улучшите свою торговую игру с ChartPrime. Доступ здесь.
• Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
• Источник: https://www.darkreading.com/threat-intelligence/cybercriminals-team-up-upgrade-sapphirestealer-malware