Açık kaynaklı .NET tabanlı bilgi çalan kötü amaçlı yazılım Safir Hırsızı yeteneklerini geliştirmek ve kendi ısmarlama varyantlarını oluşturmak için birden fazla kuruluş tarafından kullanılıyor.
Cisco Talos araştırmacısı Edmund, “SapphireStealer gibi bilgi çalan kötü amaçlı yazılımlar, kurumsal kimlik bilgileri de dahil olmak üzere hassas bilgileri elde etmek için kullanılabilir; bu bilgiler genellikle casusluk veya fidye yazılımı/gasp ile ilgili operasyonlar da dahil olmak üzere ek saldırılar için erişimden yararlanan diğer tehdit aktörlerine yeniden satılır.” Brumaghin söz konusu The Hacker News ile paylaşılan bir raporda.
Zamanla hem finansal motivasyonlu hem de ulus devlet aktörlerinin, çeşitli türde saldırılar gerçekleştirmek için hırsız kötü amaçlı yazılım tedarikçilerinin hizmetlerini kullanmasına olanak tanıyan eksiksiz bir ekosistem gelişti.
Bu açıdan bakıldığında, bu tür kötü amaçlı yazılımlar yalnızca hizmet olarak siber suç (CaaS) modelinin bir evrimini temsil etmekle kalmıyor, aynı zamanda fidye yazılımı dağıtmak, veri hırsızlığı yapmak ve diğer kötü amaçlı siber faaliyetler yürütmek için diğer tehdit aktörlerine çalınan verilerden para kazanma olanağı da sunuyor. .
SapphireStealer, karanlık ağda giderek daha fazla ortaya çıkan diğer hırsız kötü amaçlı yazılımlara çok benzer; ana bilgisayar bilgilerini, tarayıcı verilerini, dosyaları, ekran görüntülerini toplama ve Basit Posta Aktarım Protokolü aracılığıyla verileri bir ZIP dosyası biçiminde dışarı çıkarma özellikleriyle donatılmıştır ( SMTP).
Ama gerçek şu ki kaynak kodu Aralık 2022’nin sonlarında ücretsiz olarak yayınlanması, kötü niyetli kişilerin kötü amaçlı yazılımla deneme yapmasına olanak tanıdı ve tespit edilmesini zorlaştırdı. Buna, Discord web kancası veya Telegram API kullanılarak esnek veri sızdırma yöntemlerinin eklenmesi de dahildir.
Brumaghin, “Bu tehdidin birçok çeşidi halihazırda ortalıkta dolaşıyor ve tehdit aktörleri zaman içinde bu tehdidin etkinliğini ve etkinliğini geliştiriyor” dedi.
Kötü amaçlı yazılım yazarı aynı zamanda kod adı verilen bir .NET kötü amaçlı yazılım indiricisini de halka açık hale getirdi. FUD-YükleyiciBu, saldırganın kontrol ettiği dağıtım sunucularından ek ikili veri yüklerinin alınmasını mümkün kılar.
Talos, kötü amaçlı yazılım indiricisinin DCRat, njRAT gibi uzaktan yönetim araçlarını sunmak için vahşi doğada kullanıldığını tespit ettiğini söyledi. KaranlıkKuyrukluyıldızve Ajan Tesla.
Açıklama, Zscaler’in kimlik bilgilerini, sistem bilgilerini, tarayıcılardan oturum ayrıntılarını, Telegram’ı, Discord’u ve dosya aktarma araçlarını ve ayrıca 70’ten fazla kripto para biriminden verileri yağmalayabilen Agniane Stealer adlı başka bir hırsız kötü amaçlı yazılımın ayrıntılarını paylaşmasından bir haftadan biraz daha uzun bir süre sonra geldi. uzantılar ve 10 cüzdan.
Birkaç dark web forumunda ve bir Telegram kanalında ayda 50 dolara (ömür boyu lisans yok) satışa sunuluyor.
Güvenlik araştırmacısı Mallikarjun Piddannavar, “Agniane Stealer’dan sorumlu tehdit aktörleri, kötü amaçlı yazılımın işlevselliğini ve kaçınma özelliklerini korumak ve düzenli olarak güncellemek için paketleyicilerden yararlanıyor” dedi. söz konusu.
