Un malware voleur d’informations open source basé sur .NET baptisé SaphirStealer est utilisé par plusieurs entités pour améliorer ses capacités et créer leurs propres variantes sur mesure.
« Les logiciels malveillants voleurs d’informations comme SapphireStealer peuvent être utilisés pour obtenir des informations sensibles, y compris des informations d’identification d’entreprise, qui sont souvent revendues à d’autres acteurs malveillants qui exploitent l’accès pour des attaques supplémentaires, y compris des opérations liées à l’espionnage ou au ransomware/extorsion », Edmund, chercheur chez Cisco Talos. Brumaghin dit dans un rapport partagé avec The Hacker News.
Tout un écosystème s’est développé au fil du temps, permettant à des acteurs motivés par des raisons financières ou à des acteurs étatiques d’utiliser les services de fournisseurs de logiciels malveillants voleurs pour mener divers types d’attaques.
Vu sous cet angle, ces logiciels malveillants représentent non seulement une évolution du modèle de cybercriminalité en tant que service (CaaS), mais ils permettent également à d’autres acteurs malveillants de monétiser les données volées pour distribuer des ransomwares, commettre des vols de données et d’autres cyberactivités malveillantes. .
SapphireStealer ressemble beaucoup à d’autres logiciels malveillants voleurs qui sont de plus en plus apparus sur le Web sombre, doté de fonctionnalités permettant de collecter des informations sur l’hôte, des données de navigateur, des fichiers, des captures d’écran et d’exfiltrer les données sous la forme d’un fichier ZIP via Simple Mail Transfer Protocol ( SMTP).
Mais le fait que ce soit code source a été publié gratuitement fin décembre 2022, a permis à des mécréants d’expérimenter le logiciel malveillant et de le rendre difficile à détecter. Cela inclut l’ajout de méthodes flexibles d’exfiltration de données à l’aide d’un webhook Discord ou d’une API Telegram.
« De multiples variantes de cette menace existent déjà, et les acteurs de la menace améliorent son efficience et son efficacité au fil du temps », a déclaré Brumaghin.
L’auteur du malware a également rendu public un téléchargeur de malware .NET, nommé Chargeur FUDqui permet de récupérer des charges utiles binaires supplémentaires à partir de serveurs de distribution contrôlés par des attaquants.
Talos a déclaré avoir détecté que le téléchargeur de logiciels malveillants était utilisé dans la nature pour fournir des outils d’administration à distance tels que DCRat, njRAT, SombreComèteet l’agent Tesla.
La divulgation intervient un peu plus d’une semaine après que Zscaler a partagé les détails d’un autre malware voleur appelé Agniane Stealer, capable de piller les informations d’identification, les informations système, les détails de session des navigateurs, Telegram, Discord et les outils de transfert de fichiers, ainsi que les données de plus de 70 crypto-monnaies. extensions et 10 portefeuilles.
Il est proposé à la vente pour 50 $ par mois (pas de licence à vie) sur plusieurs forums du dark web et sur une chaîne Telegram.
« Les acteurs de la menace responsables d’Agniane Stealer utilisent des packers pour maintenir et mettre régulièrement à jour les fonctionnalités et les fonctionnalités d’évasion du logiciel malveillant », a déclaré le chercheur en sécurité Mallikarjun Piddannavar. dit.