هشدار سیسکو برای سفارشیسازی بدافزار متن باز و سارق اطلاعات SapphireStealer
اخبار داغ فناوری اطلاعات و امنیت شبکه
سیسکو گزارش داد که چندین عامل تهدید در حال شخصیسازی بدافزار سرقت اطلاعات SapphireStealer پس از فاش شدن کد منبع (Source Code) آن هستند.
محققان Cisco Talos گزارش دادند که پس از انتشار کد منبع این بدافزار در GitHub، چندین عامل تهدید نسخه شخصیسازی شده خود را از SapphireStealer ایجاد کردهاند.
بدافزار SapphireStealer یک سارق اطلاعات متن باز است که در دات نت نوشته شده و از زمان انتشار عمومی آن در دسامبر ٢٠٢٢ در مخازن چند بدافزار عمومی دیده شده است.
سارق اطلاعات SapphireStealer به اپراتورها اجازه میدهد تا دادههای سیستم (مانند آدرس IP، نام هاست، وضوح صفحه، نسخه سیستم عامل، معماری CPU، شناسه پردازنده و اطلاعات GPU) را جمعآوری کنند و پایگاه دادهها و فایلهای مختلف اعتبارنامه مرورگر، که ممکن است حاوی اطلاعات حساس کاربر باشد را سرقت کنند.
این بدافزار همچنین میتواند فایلهای ذخیرهشده با پسوندهای خاص را سیفون کرده و از صفحهنمایش عکس بگیرد.
این بدافزار بهدنبال فرآیندهای مرتبط با مرورگرهای Chrome، Yandex، Edge و Opera میگردد تا آنها را از بین ببرد. این بدافزار همچنین دایرکتوریهای فایل پایگاه داده مرورگرهای مختلف را برای پایگاههای اطلاعاتی اعتبارنامههای مرتبط با ١٦ مرورگر، ازجمله Chrome، Microsoft Edge، Brave Browser، Opera، Comodo و Yandex بررسی میکند.
بدافزار SapphireStealer محتویات پایگاه داده اعتبارنامهها را تخلیه میکند، سپس آن را در یک فایل متنی در ورکینگ دایرکتوری بدافزار به نام Passwords.txt ذخیره میکند.
در گزارش منتشر شده توسط تالوس آمده است: "این بدافزار یک زیر شاخه جدید به نام Files در ورکینگ دایرکتوری بدافزار ایجاد میکند. سپس یک گیرنده فایل (File Grabber) اجرا میشود که سعی میکند هر فایلی را که در پوشه دسکتاپ قربانی ذخیره شده و با لیستی از پسوندهای فایل مطابقت دارد، پیدا کند".
لیست نوع فایلها در بین نمونههای تجزیهوتحلیل شده متفاوت است، اما یک لیست نمونه در زیر نشان داده شده است:
• txt
• pdf
• doc
• docx
• xml
• img
• jpg
• png
هنگامی که گرابر فایل اجرا را کامل کرد، بدافزار سپس یک فایل آرشیو فشرده به نام log.zip ایجاد میکند که حاوی تمام لاگهایی است که قبلا در ورکینگ دایرکتوری بدافزار نوشته شدهاند.
دادهها با انتقال آنها به مهاجم از طریق پروتکل انتقال نامه ساده یا Simple Mail Transfer Protocol (SMTP) استخراج میشوند. محققان متوجه شدند که مهاجمان از اعتبارنامههای رمزگذاری شده استفاده میکنند.
از زمانی که کد بدافزار منتشر شد، چندین عامل تهدید آن را تغییر دادند تا قابلیتهای آن را افزایش و بهبود دهند.
بسیاری از تغییرات SapphireStealer مشاهده شده توسط محققان بر روی بهبود خروجی دادهها و هشدار برای آلودگیهای جدید متمرکز شده است. کارشناسان افزودند که بسیاری از این سفارشیسازیها بهطور مستقل رخ دادهاند و عملکرد جدیدی در کلاسترهای نمونه مرتبط با دیگر عوامل تهدید وجود ندارد.
گزارش در ادامه میگوید: "در یک مورد، ما یک نمونه SapphireStealer را مشاهده کردیم که در آن دادههای جمعآوریشده با استفاده از فرآیند توصیفشده قبلی با استفاده از Discord webhook API استخراج شده است".
چندین مورد سفارشیسازی مشاهده شده توسط Talos توانستند با انتقال دادههای لاگ از طریق API پست تلگرام، مهاجمان را در مورد آلودگیهای تازه بهدست آمده آگاه کنند.
در چندین مورد، سیسکو تالوس مشاهده کرده که عوامل تهدید تلاش میکردند از یک دانلودکننده بدافزار به نام FUD-Loader استفاده کنند. دانلودر بدافزار FUD-Loader نیز توسط همان حساب GitHub منتشر شده است. دانلود کننده ابتدا در ۲ ژانویه ۲۰۲۳ به GitHub وارد شد و توسط چندین عامل تهدید ازجمله DcRat، njRAT، DarkComet و AgentTesla استفاده شد.
محققان شناساگرهای خطر (IOC) را برای این تهدید در مخزن Github مجموعه Talos منتشر کردند.
برچسب ها: DcRat, FUD-Loader, SMTP, Simple Mail Transfer Protocol, Working Directory, File Grabber, SapphireStealer, DarkComet, njRAT, AgentTesla, کد منبع, Brave Browser, DotNET, Source Code, Edge, اعتبارنامه, Credentials, دات نت, Opera, Yandex, Github, malware, Chrome, سیسکو, Cyber Security, جاسوسی سایبری, بدافزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, مجرمان سایبری, حمله سایبری, news