SapphireStealer-Malware

Mehrere Gruppen nutzen eine Open-Source-Malware zum Sammeln von Informationen namens SapphireStealer, die auf dem .NET-Framework basiert, um ihre Fähigkeiten zu verbessern und angepasste Versionen zu erstellen. Cybersicherheitsexperten enthüllen, dass informationssammelnde Malware wie SapphireStealer eingesetzt wird, um kritische Daten, einschließlich Anmeldeinformationen des Unternehmens, abzurufen. Diese unrechtmäßig erworbenen Zugangsdaten werden häufig an andere böswillige Akteure verkauft, die sie für weitere Angriffe ausnutzen, die von Spionage bis hin zu Ransomware und Erpressungsaktionen reichen.

Diese Art von Malware bedeutet nicht nur eine Weiterentwicklung des Cybercrime-as-a-Service (CaaS)-Modells, sondern bietet auch Möglichkeiten für andere betrügerische Akteure, von den gestohlenen Daten zu profitieren, indem sie die Verbreitung von Ransomware, die Durchführung von Datendiebstahl und die Durchführung von Angriffen erleichtern in verschiedenen anderen schändlichen Cyber-Aktivitäten.

SapphireStealer erfasst verschiedene vertrauliche Informationen von kompromittierten Geräten

SapphireStealer, eine .NET-basierte Malware zum Sammeln von Informationen, verfügt über einen unkomplizierten, aber effektiven Funktionsumfang, der zum Extrahieren vertraulicher Daten aus kompromittierten Systemen entwickelt wurde. Zu seinen Fähigkeiten gehören:

• • Sammeln von Hostinformationen.

• • Screenshots aufnehmen.

• • Sammeln zwischengespeicherter Browser-Anmeldeinformationen.

• • Identifizieren bestimmter Dateien auf dem infizierten System basierend auf vordefinierten Dateierweiterungen.

Bei der ersten Ausführung führt die Malware eine Prüfung durch, um festzustellen, ob aktive Browserprozesse auf dem System vorhanden sind. Es durchsucht die Liste der aktuell ausgeführten Prozesse nach Übereinstimmungen mit den folgenden Prozessnamen: chrome, yandex, msedge und Opera. Wenn passende Prozesse gefunden werden, verwendet die Malware die Process.Kill()-Methode, um sie zu beenden.

Darüber hinaus nutzt die Malware eine hartcodierte Liste von Dateipfaden, um das Vorhandensein von Anmeldeinformationsdatenbanken zu erkennen, die mit etwa 15 verschiedenen Webbrowsern verknüpft sind, darunter Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browser und mehr.

Anschließend versucht SapphireStealer, einen Screenshot des kompromittierten Systems zu erfassen und ihn im selben Arbeitsverzeichnis unter dem Dateinamen „Screenshot.png“ zu speichern. Um die Bemühungen zur Datenerfassung zu erweitern, löst die Malware eine File-Grabber-Komponente aus, die darauf abzielt, Dateien im Desktop-Ordner des Opfers zu finden, die einer vordefinierten Liste von Dateierweiterungen entsprechen.

Schließlich werden die gestohlenen Daten über das Simple Mail Transfer Protocol (SMTP) an den Angreifer übermittelt, wobei die erforderlichen Anmeldeinformationen im Code angegeben werden, der für das Verfassen und Versenden der Nachricht verantwortlich ist.

SapphireStealer-Varianten werden von Cyberkriminellen aktiv weiterentwickelt

SapphireStealer ähnelt zahlreichen anderen datensammelnden Malware-Stämmen, die im Dark Web immer häufiger vorkommen. Was sie jedoch auszeichnet, ist die Tatsache, dass ihr Quellcode Ende Dezember 2022 öffentlich und kostenlos veröffentlicht wurde. Dies hat betrügerischen Akteuren die Möglichkeit gegeben, mit der Malware zu experimentieren, was ihre Erkennung erheblich erschwert. Infolgedessen haben sie anpassungsfähige Methoden zur Datenexfiltration eingeführt, beispielsweise die Nutzung eines Discord-Webhooks oder der Telegram-API.

Es sind bereits zahlreiche Variationen dieser Bedrohung aufgetaucht, deren Effizienz und Effektivität die Bedrohungsakteure im Laufe der Zeit kontinuierlich verbessern.

Darüber hinaus hat der Malware-Autor einen .NET-Malware-Downloader mit dem Codenamen FUD-Loader veröffentlicht, der das Abrufen zusätzlicher binärer Nutzlasten von Servern ermöglicht, die von Angreifern kontrolliert werden. Dieser Downloader wurde bereits in Aktion beobachtet und liefert Remote Access Trojan (RAT)-Bedrohungen wie DCRat, njRAT, DarkComet und Agent Tesla.