SapphireStealer, casusluk veya fidye yazılımı/gasp planları gibi daha fazla saldırı için erişimi kullanan diğer tehdit aktörlerine sıklıkla satılan kurumsal kimlik bilgileri gibi hassas bilgilerin elde edilmesi için kullanılabilecek açık kaynaklı bir bilgi hırsızıdır.
25 Aralık 2022’de SapphireStealer’ın kod tabanı GitHub’da kullanıma sunuldu. Cisco Talos araştırmacılarına göre, Ocak 2023’ün ortalarından itibaren yeni oluşturulan SapphireStealer sürümleri, halka açık kötü amaçlı yazılım depolarında görünmeye başladı.
Şu anda birçok tehdit aktörü bu kötü amaçlı yazılım kod tabanını kullanıyor. Bu tehlike halihazırda birçok biçimde mevcuttur ve tehdit aktörleri bu tehlikenin gücünü ve etkinliğini sürekli olarak artırmaktadır.
SapphireStealer’ın Çalışması
SapphireStealer adlı bilgi çalan kötü amaçlı yazılım, .NET’te oluşturuldu. Güvenliği ihlal edilmiş sistemlerden özel verileri çalabilen basit ama etkili işlevler sağlar, örneğin:
- Ana bilgisayar bilgisi.
- Ekran görüntüleri.
- Önbelleğe alınmış tarayıcı kimlik bilgileri.
- Sistemde depolanan ve önceden tanımlanmış bir dosya uzantıları listesiyle eşleşen dosyalar.
Başlangıçta sistemde herhangi bir tarayıcı işleminin etkin olup olmadığını kontrol eder. Etkin işlemler listesinde Chrome, Yandex, msedge ve Opera gibi listeye karşılık gelen adlara sahip işlemler için arama yapar.
Kötü amaçlı yazılım, eşleşen işlemleri bulması durumunda sonlandırmak için Process.Kill() yöntemini kullanır. Kötü amaçlı yazılım, sabit kodlanmış bir yol listesi kullanarak tarayıcı uygulamaları için kimlik bilgisi veritabanlarının varlığını kontrol eder.
“Keşfedilen tüm kimlik bilgisi veritabanlarının içeriği boşaltılıyor. Araştırmacılar, bu bilgilerin daha sonra kötü amaçlı yazılımın çalışma dizini içindeki “Passwords.txt” adlı bir metin dosyasında saklandığını söyledi.
Kötü amaçlı yazılım daha sonra sistemin anlık görüntüsünü alır ve bunu aynı çalışma dizini içindeki bir dosyaya kaydeder.
Saldırgan, verileri Basit Posta Aktarım Protokolü (SMTP) aracılığıyla göndererek sistemin güvenliğini ihlal eder.
Cyber Security News ile paylaşılan bilgiye göre, “Bu kötü amaçlı yazılım açık kaynak olduğundan ve birden fazla farklı tehdit aktörü tarafından kullanıldığından, bu geliştirme faaliyetinin çoğu bağımsız olarak gerçekleştirildi ve diğer tehdit aktörleriyle ilişkili örnek kümelerde yeni işlevsellik mevcut değil.” .
Kötü amaçlı yazılımın yaratıcısı ayrıca, saldırganın kontrolü altındaki dağıtım sunucularından ek ikili yüklerin alınmasına olanak tanıyan FUD-Loader kod adlı bir.NET kötü amaçlı yazılım indiricisini de kullanıma sundu.
Araştırmacılar, bu indiricinin DcRat, njRAT, DarkComet, AgentTesla ve daha fazlası dahil olmak üzere çeşitli diğer kötü amaçlı yazılımları 2023 geneline yaymak için kullanıldığını gözlemledi.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.