Logiciel malveillant SapphireStealer

Plusieurs groupes utilisent un malware open source de collecte d'informations appelé SapphireStealer, construit sur le framework .NET, pour renforcer leurs capacités et créer des versions personnalisées. Les experts en cybersécurité révèlent que des logiciels malveillants collectant des informations tels que SapphireStealer sont utilisés pour acquérir des données critiques, notamment les identifiants de connexion de l'entreprise. Ces informations d'identification mal acquises sont fréquemment vendues à d'autres acteurs mal intentionnés qui les exploitent pour lancer de nouvelles attaques, allant de l'espionnage aux ransomwares et aux opérations d'extorsion.

Ce type de malware représente non seulement l'avancement du modèle de cybercriminalité en tant que service (CaaS), mais offre également à d'autres acteurs liés à la fraude la possibilité de profiter des données volées en facilitant la distribution de ransomwares, en procédant au vol de données et en s'engageant. dans diverses autres cyberactivités néfastes.

SapphireStealer capture diverses informations sensibles à partir d'appareils compromis

SapphireStealer, un malware de collecte d'informations basé sur .NET, possède un ensemble de fonctionnalités simples mais efficaces conçues pour extraire des données sensibles de systèmes compromis. Ses capacités incluent :

• • Collecte d'informations sur l'hôte.

• • Capturer des captures d'écran.

• • Récolte des informations d'identification du navigateur mises en cache.

• • Identification et ciblage de fichiers spécifiques sur le système infecté en fonction d'extensions de fichiers prédéfinies.

Lors de sa première exécution, le logiciel malveillant effectue une vérification pour déterminer la présence de processus de navigateur actifs sur le système. Il analyse la liste des processus en cours d'exécution à la recherche de correspondances avec les noms de processus suivants : chrome, Yandex, msedge et Opera. Si des processus correspondants sont trouvés, le logiciel malveillant utilise la méthode Process.Kill() pour y mettre fin.

De plus, le logiciel malveillant utilise une liste codée en dur de chemins de fichiers pour détecter l'existence de bases de données d'informations d'identification associées à environ 15 navigateurs Web différents, notamment Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browsers, etc.

Par la suite, SapphireStealer s'efforce de capturer une capture d'écran du système compromis, en l'enregistrant dans le même répertoire de travail sous le nom de fichier « Screenshot.png ». Pour étendre ses efforts de collecte de données, le logiciel malveillant déclenche un composant de capture de fichiers, visant à localiser les fichiers dans le dossier Bureau de la victime qui correspondent à une liste prédéfinie d'extensions de fichiers.

Enfin, les données volées sont transmises à l'attaquant via le Simple Mail Transfer Protocol (SMTP), les informations d'identification requises étant spécifiées dans le code responsable de la composition et de l'envoi du message.

Les variantes de SapphireStealer sont activement développées par les cybercriminels

SapphireStealer ressemble à de nombreuses autres souches de logiciels malveillants collectant des données qui sont de plus en plus répandues sur le Dark Web. Cependant, ce qui le distingue est le fait que son code source a été publié ouvertement et gratuitement fin décembre 2022. Cela a permis aux acteurs liés à la fraude d'expérimenter le malware, le rendant considérablement plus difficile à détecter. En conséquence, ils ont introduit des méthodes d’exfiltration de données adaptables, telles que l’utilisation d’un webhook Discord ou de l’API Telegram.

De nombreuses variantes de cette menace ont déjà fait surface, les acteurs de la menace affinant continuellement leur efficience et leur efficacité au fil du temps.

De plus, l'auteur du malware a rendu public un téléchargeur de malware .NET, nommé FUD-Loader, qui permet de récupérer des charges utiles binaires supplémentaires à partir de serveurs contrôlés par des attaquants. Ce téléchargeur a déjà été observé en action, délivrant des menaces de chevaux de Troie d'accès à distance (RAT) telles que DCRat, njRAT , DarkComet et Agent Tesla .