Grazie al lavoro di Cisco Talos è stato possibile individuare un infostealer opensource basato su .NET utilizzato nel contesto dello spionaggio e degli attacchi ransomware.
L’agente malevolo, denominato SapphireStealer, è stato così descritto dai ricercatori “I malware che rubano informazioni come SapphireStealer possono essere utilizzati per ottenere informazioni sensibili, comprese le credenziali aziendali, che vengono spesso rivendute ad altri autori di minacce che sfruttano l’accesso per ulteriori attacchi, comprese operazioni relative allo spionaggio o al ransomware/estorsione“.
Nel corso del tempo si è sviluppato un intero ecosistema che consente agli hacker, con motivazioni economiche o di interesse nazionale, di utilizzare i servizi dei fornitori di malware stealer per sferrare vari tipi di attacco.
Visto in quest’ottica, questo malware non solo rappresenta un’evoluzione del modello CaaS (crimine informatico come servizio), ma offre anche ad altri autori di minacce la possibilità di monetizzare i dati rubati per distribuire ransomware, effettuare furti di dati e altre attività informatiche dannose. .
SapphireStealer: gli hacker a lavoro sul codice sorgente per renderlo ancora più elusivo
SapphireStealer è molto simile ad altri malware stealer che sono comparsi sempre più spesso nel Dark Web. Esso è dotato di funzionalità per raccogliere informazioni sull’host, dati del browser, file e schermate oltre alla capacità di esfiltrare i dati sotto forma di file ZIP tramite Simple Mail Transfer Protocol (SMTP).
Il fatto che il suo codice sorgente sia stato pubblicato gratuitamente alla fine di dicembre 2022 ha inoltre consentito ai malintenzionati di sperimentare il malware e di renderlo ancora più elusivo. Ciò include l’aggiunta di metodi flessibili di esfiltrazione dei dati utilizzando un webhook Discord o un’API Telegram.
L’autore di SapphireStealer ha anche reso pubblico un downloader .NET, nome in codice FUD-Loader, che consente di recuperare ulteriori payload binari dai server di distribuzione controllati dagli aggressori.
Talos ha affermato di aver rilevato che il downloader di malware veniva utilizzato per distribuire strumenti di amministrazione remota come DCRat, njRAT, DarkComet e Agent Tesla.