Software malicioso SapphireStealer
Varios grupos emplean un malware de recopilación de información de código abierto llamado SapphireStealer, creado en el marco .NET, para reforzar sus capacidades y crear versiones personalizadas. Los expertos en ciberseguridad revelan que el malware que recopila información, como SapphireStealer, se emplea para adquirir datos críticos, incluidas las credenciales de inicio de sesión corporativas. Estas credenciales obtenidas de forma ilícita se venden con frecuencia a otros actores malintencionados que las explotan para lanzar nuevos ataques, que van desde espionaje hasta ransomware y operaciones de extorsión.
Este tipo de malware no sólo significa el avance del modelo de cibercrimen como servicio (CaaS), sino que también brinda oportunidades para que otros actores relacionados con el fraude se beneficien de los datos robados al facilitar la distribución de ransomware, llevar a cabo el robo de datos y participar en en varias otras actividades cibernéticas nefastas.
SapphireStealer captura diversa información confidencial de dispositivos comprometidos
SapphireStealer, un malware de recopilación de información basado en .NET, posee un conjunto de funciones sencillas pero efectivas diseñadas para extraer datos confidenciales de sistemas comprometidos. Sus capacidades incluyen:
-
- Recopilación de información del anfitrión.
-
- Tomando capturas de pantalla.
-
- Recopilación de credenciales del navegador almacenadas en caché.
-
- Identificar y apuntar a archivos específicos en el sistema infectado en función de extensiones de archivo predefinidas.
Tras su ejecución inicial, el malware realiza una verificación para determinar la presencia de procesos de navegador activos en el sistema. Escanea la lista de procesos actualmente en ejecución en busca de coincidencias con los siguientes nombres de procesos: chrome, yandex, msedge y Opera. Si se encuentra algún proceso coincidente, el malware emplea el método Process.Kill() para finalizarlo.
Además, el malware utiliza una lista codificada de rutas de archivos para detectar la existencia de bases de datos de credenciales asociadas con aproximadamente 15 navegadores web diferentes, incluidos Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browsers y más.
Posteriormente, SapphireStealer intenta capturar una captura de pantalla del sistema comprometido y guardarla en el mismo directorio de trabajo con el nombre de archivo 'Screenshot.png'. Para ampliar sus esfuerzos de recopilación de datos, el malware activa un componente de captura de archivos, cuyo objetivo es localizar archivos dentro de la carpeta del Escritorio de la víctima que coincidan con una lista predefinida de extensiones de archivo.
Finalmente, los datos robados se transmiten al atacante a través del Protocolo simple de transferencia de correo (SMTP), y las credenciales requeridas se especifican en el código responsable de redactar y enviar el mensaje.
Los ciberdelincuentes están desarrollando activamente variantes de SapphireStealer
SapphireStealer se parece a muchas otras cepas de malware de recopilación de datos que se han vuelto cada vez más frecuentes en la Dark Web. Sin embargo, lo que lo distingue es el hecho de que su código fuente se lanzó abiertamente y de forma gratuita a fines de diciembre de 2022. Esto ha permitido a los actores relacionados con el fraude experimentar con el malware, lo que hace que su detección sea considerablemente más difícil. Como resultado, han introducido métodos adaptables de exfiltración de datos, como aprovechar un webhook de Discord o la API de Telegram.
Ya han surgido numerosas variaciones de esta amenaza, y los actores de la amenaza refinan continuamente su eficiencia y eficacia a lo largo del tiempo.
Además, el autor del malware ha hecho público un descargador de malware .NET, cuyo nombre en código es FUD-Loader, que permite recuperar cargas binarias adicionales de servidores controlados por atacantes. Este programa de descarga ya se ha observado en acción y ofrece amenazas de troyanos de acceso remoto (RAT) como DCRat, njRAT , DarkComet y Agent Tesla .
