Un malware ladrón de información de código abierto basado en .NET denominado Ladrón de zafiros está siendo utilizado por múltiples entidades para mejorar sus capacidades y generar sus propias variantes personalizadas.
«El malware de robo de información como SapphireStealer se puede utilizar para obtener información confidencial, incluidas credenciales corporativas, que a menudo se revenden a otros actores de amenazas que aprovechan el acceso para ataques adicionales, incluidas operaciones relacionadas con espionaje o ransomware/extorsión», Edmund, investigador de Cisco Talos. Brumaghin dicho en un informe compartido con The Hacker News.
Con el tiempo se ha desarrollado todo un ecosistema que permite que tanto los actores con motivación financiera como los estados-nación utilicen servicios de proveedores de malware ladrón para llevar a cabo diversos tipos de ataques.
Visto desde esa perspectiva, este tipo de malware no solo representa una evolución del modelo de cibercrimen como servicio (CaaS), sino que también ofrece a otros actores de amenazas monetizar los datos robados para distribuir ransomware, realizar robos de datos y otras actividades cibernéticas maliciosas. .
SapphireStealer se parece mucho a otros programas maliciosos ladrones que han surgido cada vez más en la web oscura, equipado con funciones para recopilar información del host, datos del navegador, archivos, capturas de pantalla y extraer los datos en forma de un archivo ZIP a través del Protocolo simple de transferencia de correo ( SMTP).
Pero el hecho de que su código fuente se publicó de forma gratuita a finales de diciembre de 2022 y ha permitido a los malhechores experimentar con el malware y dificultar su detección. Esto incluye la adición de métodos flexibles de exfiltración de datos utilizando un webhook de Discord o una API de Telegram.
«Ya existen múltiples variantes de esta amenaza, y los actores de la amenaza están mejorando su eficiencia y eficacia con el tiempo», dijo Brumaghin.
El autor del malware también ha hecho público un descargador de malware .NET, cuyo nombre en código Cargador FUDlo que hace posible recuperar cargas binarias adicionales de los servidores de distribución controlados por el atacante.
Talos dijo que detectó que el descargador de malware se estaba utilizando de forma natural para entregar herramientas de administración remota como DCRat, njRAT, cometa oscuroy el Agente Tesla.
La divulgación se produce poco más de una semana después de que Zscaler compartiera detalles de otro malware ladrón llamado Agniane Stealer que es capaz de saquear credenciales, información del sistema, detalles de sesiones de navegadores, Telegram, Discord y herramientas de transferencia de archivos, así como datos de más de 70 criptomonedas. extensiones y 10 carteras.
Se ofrece a la venta por 50 dólares al mes (sin licencia de por vida) en varios foros de la web oscura y en un canal de Telegram.
«Los actores de amenazas responsables de Agniane Stealer utilizan empaquetadores para mantener y actualizar periódicamente la funcionalidad y las características de evasión del malware», dijo el investigador de seguridad Mallikarjun Piddannavar. dicho.