Malware SapphireStealer: Uma Porta de Entrada para Operações de Espionagem e Ransomware
1 de Setembro de 2023

Um malware de sequestro de informações baseado em .NET e de código aberto conhecido como SapphireStealer está sendo usado por várias entidades para aprimorar suas capacidades e originar suas próprias variantes feitas sob medida.

"Malwares de roubo de informações como o SapphireStealer podem ser usados para obter informações sensíveis, incluindo credenciais corporativas, que são frequentemente revendidas a outros atores de ameaças que aproveitam o acesso para ataques adicionais, incluindo operações relacionadas a espionagem ou ransomware/extorsão", disse o pesquisador da Cisco Talos, Edmund Brumaghin, em um relatório compartilhado com o The Hacker News.

Todo um ecossistema se desenvolveu ao longo do tempo que permite a atores motivados financeiramente e a atores apoiados por nações a usar serviços de fornecedores de malwares para executar vários tipos de ataques.

Visto nessa perspectiva, esses malwares não apenas representam uma evolução do modelo de cibercrime como serviço (CaaS), mas também oferecem a outros atores de ameaças a oportunidade de monetizar os dados roubados para distribuir ransomware, realizar o roubo de dados e outras atividades cibernéticas maliciosas.

O SapphireStealer é muito semelhante a outros malwares que têm surgido cada vez mais na dark web, equipados com recursos para coletar informações do host, dados do navegador, arquivos, capturas de tela e exfiltrar os dados na forma de um arquivo ZIP via Simple Mail Transfer Protocol (SMTP).

Mas o fato de seu código fonte ter sido publicado gratuitamente no final de dezembro de 2022 permitiu que malfeitores experimentassem o malware e o tornassem difícil de detectar.

Isso inclui a adição de métodos flexíveis de exfiltração de dados usando um webhook do Discord ou API do Telegram.

"Várias variantes dessa ameaça já estão em campo e os atores de ameaças estão melhorando sua eficiência e eficácia ao longo do tempo," disse Brumaghin.

O autor do malware também tornou público um downloader de malware .NET, codinome FUD-Loader, que possibilita a recuperação de cargas binárias adicionais de servidores de distribuição controlados pelo atacante.

A Talos disse que detectou o downloader de malware sendo usado na prática para entregar ferramentas de administração remota como DCRat, njRAT, DarkComet e Agent Tesla.

A divulgação ocorre pouco mais de uma semana após a Zscaler compartilhar detalhes de outro malware de roubo chamado Agniane Stealer que é capaz de saquear credenciais, informações do sistema, detalhes da sessão de navegadores, Telegram, Discord, e ferramentas de transferência de arquivos, bem como dados de mais de 70 extensões de criptomoedas e 10 carteiras.

É oferecido para venda por $50 por mês (sem licença vitalícia) em vários fóruns da dark web e um canal no Telegram.

"Os atores de ameaças responsáveis pelo Agniane Stealer utilizam empacotadores para manter e atualizar regularmente a funcionalidade e os recursos de evasão do malware", disse o pesquisador de segurança Mallikarjun Piddannavar.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...