SapphireStealer – zlonamjerni softver otvorenog kôda
SapphireStealer, kradljivac informacija otvorenog kôda polako postaje rastuća prijetnja korisnicima od kako se prvi put pojavio prošle godine. Ovaj zlonamjerni softver je dizajniran da krade osjetljive podatke, uključujući korporativne akreditive i od tada je doživio aktivnu upotrebu i modifikacije od strane različitih zlonamjernih aktera.
Kradljivci podataka su često zanimljiva opcija za zlonamjerne aktere, jer obezbjeđuju jednostavno sredstvo za kompromitovanje i distribuciju osjetljivih informacija i detalja vezanih za naloge korisnika. Ove osjetljive informacije često uključuju akreditive korporativnog naloga, pristupne tokene i druge podatke koji se zatim mogu koristiti za dalje kompromitovanje korporativnih mreža. U mnogim slučajevima, evidencije akreditiva koje generišu kradljivci informacija se monetizuju, a pristup mreži koji oni pružaju se prodaje drugim zlonamjernim akterima koji ih mogu koristiti u različite svrhe, kao što su špijunaža ili ransomvare.
SapphireStealer
SapphireStealer je objavljen na platformi GitHub 25. decembra 2022. godine i primjer je kradljivac podataka koji je namijenjen da olakša krađu različitih baza podataka akreditiva pregledačai datoteka koje mogu sadržati osjetljive korisničke informacije. Kao što je čest slučaj nakon objavljivanja nove baze zlonamjernog softvera otvorenog kôda, zlonamjerni akteri su reagovali brzo, počevši da eksperimentišu sa ovim zlonamjernim softverom, proširujući ga da podrži dodatnu funkcionalnost i koristeći druge alate kako bi otežali njegovo otkrivanje.
SapphireStealer funkcionisanje
Osnovne funkcije zlonamjernog softvera uključuju prikupljanje informacija o uređaju, pravljenje snimaka ekrana, prikupljanje keširanih akreditiva pregledača i prikupljanje datoteka sa unaprijed definisanim ekstenzijama iz sistema žrtve. Nakon izvršenja, SapphireStealer prekida procese pregledača koji odgovaraju određenim imenima kao što su Chrome, Yandex i Opera. Nakon toga, zlonamjerni softver locira i izvlači podatke o akreditivima iz različitih aplikacija pregledača i ovi ukradeni podaci se čuvaju u tekstualnoj datoteci pod nazivom “Passwords.txt”. Pored toga, zlonamjerni softver pravi snimke ekrana i prikuplja određene tipove datoteka iz fascikle na radnoj površini žrtve.
Kada se završi prikupljanje podatka, oni se kompresuju u arhivu i šalju napadači korištenjem Simple Mail Transfer Protocol – SMTP protokola. U poslanoj elektronskoj pošti su podaci kao što su IP adresa, ime uređaja, rezolucija ekrana, verzija operativnog sistema i arhitektura procesora.
Dodatne funkcije
Od svog prvog objavljivanja SapphireStealer je doživio značajne izmjene funkcionalnosti od strane zlonamjernih aktera. Nove adaptacije su uključivale korištenje Discord webhook API i Telegram posting API funkcionalnosti preuzimanje podataka, kao i proširenja liste ciljanih ekstenzija za prikupljanje datoteka. Pojedini zlonamjerni akteri su koristili FUD-Loader – program za učitavanje zlonamjernog softvera, kako bi isporučili SapphireStealer u višestepenim procesima infekcije korisnika.
Zaključak
Sigurnosni istraživači su primijetili u jednom slučaju sigurnosni propust od strane zlonamjernog aktera, gdje su bili u mogućnosti da dođu do korisničkih podataka napadača, što je samo pokazalo dostupnost zlonamjernih alata i za one sa ograničenom stručnošću. Ovo samo pokazuje da je jedan od nusproizvoda lako dostupnog otvorenog kôda zlonamjernog softvera jeste da se barijera ulasku u finansijski motivisan sajber kriminal nastavila da se smanjuje tokom vremena. Ovaj trend je postao očigledan kada se analiziraju kampanje koje vode pojedinci ili grupe koje pokazuju neiskustvo u uspostavljanju operativne bezbjednosti tokom različitih faza životnog ciklusa napada. Iako može biti potrebno manje operativne ekspertize za izvođenje napada korištenjem kradljivca informacija, oni mogu biti izuzetno štetni za korporativno okruženje, jer se ukradeni podaci često koriste za dodatne napade kasnije.
Zaštita
Za korisnike je najvažnije da budu pažljivi dok pretražuju Internet, jer lažni i zlonamjerni sadržaji na Internetu obično izgledaju autentični i bezopasni. Potrebno je biti oprezna sa dolaznom elektronskom poštom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatnoće da će pokrenuti proces infekcije uređaja. Preporuka je da se sva preuzimanja dokumenata ili aplikacija obavljaju sa zvaničnih i provjerenih kanala.
Takođe, redovno ažuriranje operativnog sistema i aplikacija, kao i korištenje provjerenih antivirusnih sigurnosnih rješenja imaju značajnu ulogu u zaštiti korisnika i organizacija od ovakvih prijetnji.