С открытым исходным кодом .Сетевое вредоносное ПО для кражи информации, получившее название SapphireStealer, используется несколькими организациями для расширения своих возможностей и создания собственных вариантов.
"Вредоносное ПО, похищающее информацию, такое как SapphireStealer, может использоваться для получения конфиденциальной информации, включая корпоративные учетные данные, которые часто перепродаются другим субъектам угрозы, которые используют доступ для дополнительных атак, включая операции, связанные со шпионажем или программами-вымогателями", - сказал исследователь Cisco Talos Эдмунд Брумагин в отчете, опубликованном в Hacker News.
Со временем сложилась целая экосистема, которая позволяет как финансово мотивированным субъектам, так и субъектам национального государства использовать услуги поставщиков вредоносного ПО stealer для проведения различных видов атак.
Рассматриваемое в этом свете, такое вредоносное ПО не только представляет собой эволюцию модели "киберпреступность как услуга" (CaaS), но и предлагает другим субъектам угрозы монетизировать украденные данные для распространения программ-вымогателей, кражи данных и других вредоносных действий в киберпространстве.
SapphireStealer во многом похож на другие вредоносные программы-похитители, которые все чаще появляются в dark web, и оснащен функциями сбора информации о хостинге, данных браузера, файлов, скриншотов и эксфильтрации данных в виде ZIP-файла по протоколу Simple Mail Transfer Protocol (SMTP).
Но тот факт, что его исходный код был опубликован бесплатно в конце декабря 2022 года, позволил злоумышленникам экспериментировать с вредоносным ПО и затруднил его обнаружение. Это включает добавление гибких методов фильтрации данных с использованием Discord webhook или Telegram API.
"Множество вариантов этой угрозы уже существует в дикой природе, и участники угрозы со временем повышают ее эффективность", - сказал Брумагин.
Автор вредоносного ПО также опубликовал загрузчик вредоносного ПО .NET под кодовым названием FUD-Loader, который позволяет извлекать дополнительные двоичные полезные файлы с серверов распространения, контролируемых злоумышленниками.
Talos заявила, что обнаружила загрузчик вредоносного ПО, используемый в дикой природе для доставки инструментов удаленного администрирования, таких как DCRat, njRAT, DarkComet и Agent Tesla.
Раскрытие произошло чуть более чем через неделю после того, как Zscaler поделилась подробностями о другом вредоносном ПО-краже Agniane Stealer, которое способно похищать учетные данные, системную информацию, сведения о сеансах из браузеров, Telegram, Discord и средств передачи файлов, а также данные из более чем 70 расширений криптовалюты и 10 кошельков.
Оно предлагается к продаже за 50 долларов в месяц (без пожизненной лицензии) на нескольких форумах dark web и канале Telegram.
"Злоумышленники, ответственные за Agniane Stealer, используют упаковщики для поддержания и регулярного обновления функциональности вредоносного ПО и функций уклонения", - сказал исследователь безопасности Малликарджун Пидданнавар.
"Вредоносное ПО, похищающее информацию, такое как SapphireStealer, может использоваться для получения конфиденциальной информации, включая корпоративные учетные данные, которые часто перепродаются другим субъектам угрозы, которые используют доступ для дополнительных атак, включая операции, связанные со шпионажем или программами-вымогателями", - сказал исследователь Cisco Talos Эдмунд Брумагин в отчете, опубликованном в Hacker News.
Со временем сложилась целая экосистема, которая позволяет как финансово мотивированным субъектам, так и субъектам национального государства использовать услуги поставщиков вредоносного ПО stealer для проведения различных видов атак.
Рассматриваемое в этом свете, такое вредоносное ПО не только представляет собой эволюцию модели "киберпреступность как услуга" (CaaS), но и предлагает другим субъектам угрозы монетизировать украденные данные для распространения программ-вымогателей, кражи данных и других вредоносных действий в киберпространстве.
SapphireStealer во многом похож на другие вредоносные программы-похитители, которые все чаще появляются в dark web, и оснащен функциями сбора информации о хостинге, данных браузера, файлов, скриншотов и эксфильтрации данных в виде ZIP-файла по протоколу Simple Mail Transfer Protocol (SMTP).
Но тот факт, что его исходный код был опубликован бесплатно в конце декабря 2022 года, позволил злоумышленникам экспериментировать с вредоносным ПО и затруднил его обнаружение. Это включает добавление гибких методов фильтрации данных с использованием Discord webhook или Telegram API.
"Множество вариантов этой угрозы уже существует в дикой природе, и участники угрозы со временем повышают ее эффективность", - сказал Брумагин.
Автор вредоносного ПО также опубликовал загрузчик вредоносного ПО .NET под кодовым названием FUD-Loader, который позволяет извлекать дополнительные двоичные полезные файлы с серверов распространения, контролируемых злоумышленниками.
Talos заявила, что обнаружила загрузчик вредоносного ПО, используемый в дикой природе для доставки инструментов удаленного администрирования, таких как DCRat, njRAT, DarkComet и Agent Tesla.
Раскрытие произошло чуть более чем через неделю после того, как Zscaler поделилась подробностями о другом вредоносном ПО-краже Agniane Stealer, которое способно похищать учетные данные, системную информацию, сведения о сеансах из браузеров, Telegram, Discord и средств передачи файлов, а также данные из более чем 70 расширений криптовалюты и 10 кошельков.
Оно предлагается к продаже за 50 долларов в месяц (без пожизненной лицензии) на нескольких форумах dark web и канале Telegram.
"Злоумышленники, ответственные за Agniane Stealer, используют упаковщики для поддержания и регулярного обновления функциональности вредоносного ПО и функций уклонения", - сказал исследователь безопасности Малликарджун Пидданнавар.
