SapphireStealer マルウェア

複数のグループが、.NET Framework 上に構築された SapphireStealer と呼ばれるオープンソースの情報収集マルウェアを使用して、機能を強化し、カスタマイズされたバージョンを作成しています。サイバーセキュリティの専門家は、企業のログイン資格情報を含む重要なデータを取得するために、SapphireStealer などの情報収集マルウェアが使用されていることを明らかにしています。これらの不正に入手された認証情報は、スパイ活動からランサムウェア、恐喝活動に至るまで、さらなる攻撃を開始するために悪用される他の悪意のある攻撃者に頻繁に販売されます。

このタイプのマルウェアは、サービスとしてのサイバー犯罪 (CaaS) モデルの進歩を意味するだけでなく、ランサムウェアの配布を容易にし、データ窃盗を実行し、窃盗したデータから利益を得る機会を他の詐欺関連攻撃者に提供します。他のさまざまな悪質なサイバー活動でも。

SapphireStealer は侵害されたデバイスからさまざまな機密情報を取得します

.NET ベースの情報収集マルウェアである SapphireStealer は、侵害されたシステムから機密データを抽出するために設計された、簡単かつ効果的な機能セットを備えています。その機能には次のものが含まれます。

• • ホスト情報を収集しています。

• • スクリーンショットのキャプチャ。

• • キャッシュされたブラウザ認証情報を収集します。

• • 事前定義されたファイル拡張子に基づいて、感染したシステム上の特定のファイルを識別してターゲットにします。

マルウェアは、最初の実行時にチェックを実行して、システム上にアクティブなブラウザ プロセスが存在するかどうかを判断します。現在実行中のプロセスのリストをスキャンして、プロセス名 (chrome、yandex、msedge、Opera) と一致するものを探します。一致するプロセスが見つかった場合、マルウェアは Process.Kill() メソッドを使用してそれらを終了します。

さらに、このマルウェアは、ハードコードされたファイル パスのリストを利用して、Chrome、Opera、Yandex、Brave Browser、Microsoft Edge、Atom Browser など、約 15 種類の Web ブラウザに関連付けられた認証情報データベースの存在を検出します。

その後、SapphireStealer は侵害されたシステムからスクリーンショットをキャプチャし、同じ作業ディレクトリに「Screenshot.png」というファイル名で保存しようとします。データ収集の取り組みを拡大するために、マルウェアはファイル グラバー コンポーネントをトリガーし、事前に定義されたファイル拡張子のリストに一致するファイルを被害者のデスクトップ フォルダー内で見つけようとします。

最後に、盗まれたデータは、メッセージの作成と送信を担当するコード内で指定されている必要な資格情報とともに、簡易メール転送プロトコル (SMTP) 経由で攻撃者に送信されます。

SapphireStealer の亜種はサイバー犯罪者によって積極的に開発されています

SapphireStealer は、ダークウェブでますます蔓延している他の多くのデータ収集マルウェア株に似ています。ただし、このマルウェアと異なるのは、そのソース コードが 2022 年 12 月下旬に無料で公開されたという事実です。これにより、詐欺関連の攻撃者がマルウェアを実験できるようになり、検出がかなり困難になっています。その結果、Discord Webhook や Telegram API の活用など、適応可能なデータ抽出方法が導入されました。

この脅威の多くのバリエーションがすでに世に出ており、攻撃者は時間の経過とともにその効率と有効性を継続的に改良しています。

さらに、マルウェア作成者は、コード名 FUD-Loader という .NET マルウェア ダウンローダーを公開しました。これにより、攻撃者が制御するサーバーから追加のバイナリ ペイロードを取得できるようになります。このダウンローダーはすでに動作が確認されており、DCRat、 njRAT 、 DarkComet 、 Agent Teslaなどのリモート アクセス トロイの木馬 (RAT) の脅威を配信しています。