Tội phạm mạng hợp tác để nâng cấp phần mềm độc hại 'SapphireStealer'

Tội phạm mạng đang khai thác khả năng của một mã nguồn mở kẻ đánh cắp thông tin có tên là “SapphireStealer”, đang phát triển một loạt các biến thể giúp dân chủ hóa bối cảnh tội phạm mạng khi thực hiện các cuộc tấn công đánh cắp dữ liệu. 

Kể từ khi một hacker người Nga tên là Roman Maslov lần đầu tiên công bố nó lên Web công cộng vào cuối năm ngoái, các hacker đã sử dụng SapphireStealer, mày mò và phát hành các phiên bản mới vào kho công cộng. Nó đã tạo ra một vòng phản hồi tăng cường, trong đó phần mềm độc hại ngày càng mạnh hơn và ngày càng có nhiều kẻ tấn công bị thu hút vào nó, có khả năng dẫn đến những hậu quả nguy hiểm hơn ở phía sau.

Edmund Brumaghin, nhà nghiên cứu mối đe dọa của Cisco Talos, cho biết: “Bạn có một nhóm lớn các tác nhân đe dọa quan tâm đến việc đánh cắp thông tin xác thực, mã thông báo truy cập, tên người dùng và mật khẩu”. vào ngày 31 tháng XNUMX đã xuất bản một bài đăng trên blog về SapphireStealer và nhiều người đóng góp. “Sau đó, họ kiếm tiền từ dữ liệu đó, điều này có thể dẫn đến các kiểu tấn công có tác động lớn hơn.”

SapphireStealer là gì?

Vào ngày Giáng sinh năm 2022, trẻ em trên khắp thế giới chạy xuống cầu thang để mở quà từ ông già Noel. Đối tác đã mở quà từ những người quan trọng của họ. Và trên GitHub, tội phạm mạng đã được thưởng một món quà của riêng chúng: “Một công cụ đơn giản [sic] gửi nhật ký tới EMAIL của bạn,” với sự giúp đỡ của r3vengerx0 (Maslov).

“Kẻ đánh cắp” (kẻ đánh cắp) được viết bằng .NET và mọi người có thể tải xuống miễn phí. Đơn giản nhưng hiệu quả, nó mang đến cho ngay cả những tin tặc không rành về kỹ thuật khả năng lấy tệp ở hầu hết các định dạng phổ biến — .pdf, .doc, .jpg, v.v. — cũng như ảnh chụp màn hình và thông tin xác thực từ các trình duyệt Chrome như Google Chrome, Microsoft Edge, và Yandex. Nó chỉ đơn giản đóng gói thông tin này vào một email và gửi lại cho kẻ thù cùng với nhiều thông tin khác nhau về máy được nhắm mục tiêu: địa chỉ IP, phiên bản hệ điều hành, v.v. Cuối cùng, sau quá trình lọc, SapphireStealer xóa bằng chứng về hoạt động của nó và chấm dứt.

Tất cả đều ổn và tốt, nhưng giống như danh sách GitHub của r3vengerx0, có những vấn đề cần giải quyết. “Có một số luồng thực thi mã thừa đang diễn ra — những hướng dẫn thừa không chính xác là những gì bạn mong đợi từ một cơ sở mã hiệu quả. Brumaghin giải thích cũng có một số lỗi đánh máy ở một số điểm nhất định trong mã.

Điều đó bắt đầu thay đổi, bắt đầu vào khoảng giữa tháng Giêng.

SapphireStealer phát triển như thế nào

Ngay sau kỳ nghỉ lễ, các biến thể mới của SapphireStealer bắt đầu xuất hiện, giúp dọn sạch mã (nếu không muốn nói là tái cấu trúc đáng kể) và cải thiện chức năng cốt lõi của nó. Ví dụ: một số biến thể đã mở rộng danh sách các định dạng tệp mà SapphireStealer có thể lấy từ đó.

Một biến thể khác đã thay thế chức năng email bằng API webhook của Discord. Một số khác xuất hiện với khả năng cảnh báo những kẻ tấn công về các đợt lây nhiễm mới bằng cách truyền dữ liệu nhật ký qua API Telegram.

Trong nửa đầu năm 2023, SapphireStealer trở nên mạnh mẽ hơn, đa diện hơn và nguy hiểm hơn nhưng cũng dễ tiếp cận hơn. “Rào cản gia nhập hoạt động đánh cắp thông tin tiếp tục giảm với sự ra đời của những kẻ đánh cắp nguồn mở như SapphireStealer. Bạn không cần phải biết cách viết mã. Bạn không cần phải biết về an ninh vận hành hay bất cứ thứ gì tương tự,” Brumaghin nói.

Khi SapphireStealer phát triển và lan rộng, nó có thể dễ dàng tạo ra các cuộc tấn công nghiêm trọng hơn cho các doanh nghiệp lớn hơn. 

Brumaghin giải thích: “Một tổ chức có thể không xử lý mối đe dọa đánh cắp thông tin ở mức độ tương đương với mối đe dọa khác, chẳng hạn như ransomware”. “Nhưng chúng thường là tiền thân của những thứ như ransomware và gián điệp, bởi vì kẻ thù sẽ lấy được thông tin xác thực của kẻ đánh cắp thông tin và sau đó kiếm tiền từ những thông tin đó bằng cách bán chúng cho các tác nhân đe dọa khác, những kẻ sau đó có thể sử dụng quyền truy cập đó để tiến hành các hoạt động sau xâm phạm, hoạt động. hướng tới một số mục tiêu sứ mệnh dài hạn của họ.”

Ông kết luận: “Các tổ chức cần nhận thức được mối quan hệ đó. Những mối đe dọa này theo nhiều cách đang trở nên liên kết với nhau nhiều hơn khi nền kinh tế tội phạm mạng tiếp tục trưởng thành và phát triển.”

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• ChartPrime. Nâng cao trò chơi giao dịch của bạn với ChartPrime. Truy cập Tại đây.
• BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/threat-intelligence/cybercriminals-team-up-upgrade-sapphirestealer-malware