ransomware

SapphireStealer abre portas para espionagem e ransomware

Malware ladrão de informações de código aberto baseado em .NET está sendo usado por vários grupos cibercriminosos para aprimorar seus recursos e gerar suas próprias variantes personalizadas
Da Redação
03/09/2023

Um malware ladrão de informações de código aberto baseado em .NET, chamado SapphireStealer, está sendo usado por vários grupos cibercriminosos para aprimorar seus recursos e gerar suas próprias variantes personalizadas.

“Malwares que roubam informações, como o SapphireStealer, podem ser usados para obter informações confidenciais, incluindo credenciais corporativas, que muitas vezes são revendidas a outros operadores de ameaças que aproveitam o acesso para ataques adicionais, incluindo operações relacionadas a espionagem ou ransomware/extorsão”, disse o pesquisador do Cisco Talos, Edmund Brumaghin, em um relatório.

Segundo ele, ao longo do tempo foi desenvolvido todo um ecossistema que permite que operadores de ameaças com motivação financeira utilizem serviços de fornecedores de malware ladrão para realizar vários tipos de ataques.

Visto sob esse prisma, esse malware não representa apenas uma evolução do modelo de crime cibernético como serviço (CaaS), mas também oferece a outros operadores de ameaças a monetização dos dados roubados para distribuir ransomware, realizar roubo de dados e outras atividades cibernéticas maliciosas. .

O SapphireStealer é muito parecido com outros malwares ladrões que surgiram nos últimos tempos na dark web, equipado com recursos para coletar informações do host, dados do navegador, arquivos, capturas de tela e exfiltrar os dados na forma de um arquivo ZIP via Simple Mail Transfer Protocol ( SMTP).

Veja isso
Gangues de ransomware adotam novas ‘práticas comerciais’
RAT vendido a US$ 5 em fóruns russos instala backdoor

Mas o fato de o seu código-fonte ter sido publicado gratuitamente no final de dezembro de 2022 permitiu que hackers experimentassem o malware e dificultassem a sua detecção. Isso inclui a adição de métodos flexíveis de exfiltração de dados usando um webhook Discord ou API Telegram. “Múltiplas variantes dessa ameaça já estão à solta e os operadores da ameaça estão aprimorando sua eficiência e eficácia ao longo do tempo”, disse Brumaghin.

O autor do malware também tornou público um downloader de malware .NET, codinome FUD-Loader, que torna possível recuperar cargas binárias adicionais de servidores de distribuição controlados por invasores.Talos disse que detectou o downloader de malware sendo usado para fornecer ferramentas de administração remota como DCRat, njRAT, DarkComet e Agent Tesla.

Compartilhar:

Últimas Notícias