Siber suçlular, “SapphireStealer” adlı açık kaynaklı bir bilgi hırsızının yeteneklerini araştırıyor ve konu veri hırsızlığı saldırıları olduğunda siber suç ortamını demokratikleştirmeye yardımcı olacak bir dizi değişken geliştiriyor.
Roman Maslov adlı Rusça konuşan bir bilgisayar korsanının geçen yılın sonlarında halka açık Web’de ilk kez yayınlamasından bu yana, bilgisayar korsanları SapphireStealer’ı benimsiyor, üzerinde çalışıyor ve yeni sürümlerini halka açık depolarda yayınlıyor. Kötü amaçlı yazılımın güçlenmeye devam ettiği ve daha fazla saldırganın kendisine çekildiği, potansiyel olarak daha tehlikeli sonuçlara yol açan, güçlendirici bir geri bildirim döngüsü yarattı.
Cisco Talos’un tehdit araştırmacısı Edmund Brumaghin, “Kimlik bilgilerini, erişim belirteçlerini, kullanıcı adlarını ve şifreleri çalmakla ilgilenen çok sayıda tehdit aktörünüz var” diyor. 31 Ağustos’ta bir blog yazısı yayınladı SapphireStealer ve ona katkıda bulunan birçok kişi hakkında. “Sonra bu verilerden para kazanıyorlar, bu da daha yüksek etkili saldırı türlerine yol açabilir.”
SapphireStealer Nedir?
2022 Noel Günü’nde dünyanın dört bir yanındaki çocuklar Noel Baba’dan gelen hediyeleri açmak için aşağıya koştu. Ortaklar, önemli kişilerinden gelen hediyeleri açtılar. GitHub’da ise siber suçlulara kendilerine ait bir hediye sunuldu: “Basit bir susturucu [sic] günlükleri EMAIL adresinize göndermeyle”, r3vengerx0’ın (Maslov) izniyle.
“Stiller” (hırsız) .NET’te yazılmıştır ve herkesin indirmesi ücretsizdir. Basit ama etkiliydi ve teknik bilgisi olmayan bilgisayar korsanlarına bile en popüler formatlardaki (.pdf, .doc, .jpg vb.) dosyaları ele geçirme yeteneğinin yanı sıra Google Chrome, Microsoft Edge gibi Chromium tarayıcılarından ekran görüntüleri ve kimlik bilgilerini alma olanağı verdi. ve Yandex. Basitçe bu bilgiyi bir e-postaya paketledi ve hedeflenen makine hakkındaki çeşitli bilgilerle birlikte düşmanlara geri gönderdi: IP adresi, işletim sistemi sürümü vb. Son olarak, sızmanın ardından SapphireStealer etkinliğine dair kanıtları siler ve sona erdirir.
Bunların hepsi iyi ve güzeldi ama r3vengerx0’ın GitHub listesi gibi, çözülmesi gereken tuhaflıklar da vardı. Brumaghin, “Bazı gereksiz kod yürütme akışı meydana geliyordu; gereksiz talimatlar, bunlar tam olarak etkili bir kod tabanından bekleyeceğiniz şeyler değildi. Ayrıca kodun belirli noktalarında bazı yazım hataları da vardı,” diye açıklıyor Brumaghin.
Ocak ortasından itibaren bu durum değişmeye başladı.
SapphireStealer Nasıl Evrimleşti?
Tatillerden kısa bir süre sonra, SapphireStealer’ın kodu temizleyen (önemli ölçüde yeniden düzenlenmemiş olsa da) ve temel işlevselliğini iyileştiren yeni çeşitleri ortaya çıkmaya başladı. Örneğin bazı varyantlar, SapphireStealer’ın yararlanabileceği dosya formatlarının listesini genişletti.
Başka bir varyant, e-posta işlevini Discord webhook API’sıyla değiştirdi. Bazıları, bir Telegram API aracılığıyla günlük verilerini ileterek saldırganları yeni enfeksiyonlara karşı uyarma becerisiyle ortaya çıktı.
2023’ün ilk yarısında SapphireStealer daha sağlam, çok yönlü ve tehlikeli olmasının yanı sıra daha erişilebilir hale geldi. Brumaghin, “Bilgi hırsızlığına girişin önündeki engel, SapphireStealer gibi açık kaynak hırsızlarının piyasaya sürülmesiyle azalmaya devam ediyor. Nasıl kod yazılacağını bilmenize gerek yok. Operasyonel güvenlik veya buna benzer herhangi bir şeyi bilmenize gerek yok.” diyor.
SapphireStealer büyüyüp yayıldıkça, daha büyük kuruluşlar için daha ciddi saldırılara kolaylıkla olanak sağlayabilir.
Brumaghin, “Bir kuruluş, bilgi hırsızlığı tehdidini, örneğin fidye yazılımı gibi başka bir tehditle aynı düzeyde ele almayabilir” diye açıklıyor. “Ancak bunlar genellikle fidye yazılımı ve casusluk gibi şeylerin öncüsüdür, çünkü bir düşman, bir bilgi çalan kişiden kimlik bilgileri elde edecek ve daha sonra bunları diğer tehdit aktörlerine satarak paraya çevirecek ve daha sonra bu erişimi uzlaşma sonrası faaliyetleri yürütmek için kullanabilecek, uzun vadeli misyon hedeflerinden bazılarına doğru.”
Sözlerini şöyle bitiriyor: “Kuruluşların bu ilişkinin farkında olması gerekiyor. Siber suç ekonomisi olgunlaşıp büyümeye devam ettikçe bu tehditler birçok açıdan daha bağlantılı hale geliyor.”