Açık kaynaklı .NET tabanlı bilgi çalan kötü amaçlı yazılım Safir Hırsızı yeteneklerini geliştirmek ve kendi ısmarlama varyantlarını oluşturmak için birden fazla kuruluş tarafından kullanılıyor.
Cisco Talos araştırmacısı Edmund, “SapphireStealer gibi bilgi çalan kötü amaçlı yazılımlar, kurumsal kimlik bilgileri de dahil olmak üzere hassas bilgileri elde etmek için kullanılabilir; bu bilgiler genellikle casusluk veya fidye yazılımı/gasp ile ilgili operasyonlar da dahil olmak üzere ek saldırılar için erişimden yararlanan diğer tehdit aktörlerine yeniden satılır.” Brumaghin, The Hacker News ile paylaştığı bir raporda şunları söyledi.
Zamanla hem finansal motivasyonlu hem de ulus devlet aktörlerinin, çeşitli türde saldırılar gerçekleştirmek için hırsız kötü amaçlı yazılım tedarikçilerinin hizmetlerini kullanmasına olanak tanıyan eksiksiz bir ekosistem gelişti.
Bu açıdan bakıldığında, bu tür kötü amaçlı yazılımlar yalnızca hizmet olarak siber suç (CaaS) modelinin bir evrimini temsil etmekle kalmıyor, aynı zamanda fidye yazılımı dağıtmak, veri hırsızlığı yapmak ve diğer kötü amaçlı siber faaliyetler yürütmek için diğer tehdit aktörlerine çalınan verilerden para kazanma olanağı da sunuyor. .
SapphireStealer, karanlık ağda giderek daha fazla ortaya çıkan diğer hırsız kötü amaçlı yazılımlara çok benzer; ana bilgisayar bilgilerini, tarayıcı verilerini, dosyaları, ekran görüntülerini toplama ve Basit Posta Aktarım Protokolü aracılığıyla verileri bir ZIP dosyası biçiminde dışarı çıkarma özellikleriyle donatılmıştır ( SMTP).
Ancak kaynak kodunun Aralık 2022’nin sonlarında ücretsiz olarak yayınlanması, kötü niyetli kişilerin kötü amaçlı yazılımla deneme yapmasına olanak tanıdı ve tespit edilmesini zorlaştırdı. Buna, Discord web kancası veya Telegram API kullanılarak esnek veri sızdırma yöntemlerinin eklenmesi de dahildir.
Brumaghin, “Bu tehdidin birçok çeşidi halihazırda ortalıkta dolaşıyor ve tehdit aktörleri zaman içinde bu tehdidin etkinliğini ve etkinliğini geliştiriyor” dedi.
Kötü amaçlı yazılım yazarı aynı zamanda FUD-Loader kod adlı bir .NET kötü amaçlı yazılım indiricisini de halka açık hale getirdi; bu, saldırgan tarafından kontrol edilen dağıtım sunucularından ek ikili veri yüklerinin alınmasını mümkün kılıyor.
Talos, kötü amaçlı yazılım indiricisinin DCRat, njRAT, DarkComet ve Agent Tesla gibi uzaktan yönetim araçlarını sunmak için kullanıldığını tespit ettiğini söyledi.
Açıklama, Zscaler’in kimlik bilgilerini, sistem bilgilerini, tarayıcılardan oturum ayrıntılarını, Telegram’ı, Discord’u ve dosya aktarma araçlarını ve ayrıca 70’ten fazla kripto para biriminden verileri yağmalayabilen Agniane Stealer adlı başka bir hırsız kötü amaçlı yazılımın ayrıntılarını paylaşmasından bir haftadan biraz daha uzun bir süre sonra geldi. uzantılar ve 10 cüzdan.
Birkaç dark web forumunda ve bir Telegram kanalında ayda 50 dolara (ömür boyu lisans yok) satışa sunuluyor.
Güvenlik araştırmacısı Mallikarjun Piddannavar, “Agniane Stealer’dan sorumlu tehdit aktörleri, kötü amaçlı yazılımın işlevselliğini ve kaçınma özelliklerini korumak ve düzenli olarak güncellemek için paketleyicilerden yararlanıyor” dedi.