Vários atores de ameaças adotaram o ‘SapphireStealer’ depois que o código-fonte do ladrão de informações foi publicado no GitHub, relatam os pesquisadores de segurança Talos da Cisco.
Escrito em .NET, o ladrão de informações pode coletar dados do sistema (como endereço IP, nome do host, resolução de tela, versão do sistema operacional e informações de CPU e GPU), capturas de tela, arquivos com extensões específicas e credenciais de navegador em cache.
A ameaça foi observada visando Chrome, Yandex, Edge e Opera para encerrar seus processos. O malware também procura bancos de dados de credenciais associados a 16 navegadores, incluindo Chrome, Edge, Brave, Opera, Comodo e Yandex.
SapphireStealer despeja os dados coletados em um diretório de trabalho para prepará-los para exfiltração e cria um subdiretório para coletar os arquivos da vítima que possuem as extensões .txt, .pdf, .doc, .docx, .xml, .img, .jpg e .png . Os dados coletados são enviados aos invasores por meio do Simple Mail Transfer Protocol (SMTP).
Pouco depois de o código-fonte do malware ter sido lançado, em 25 de dezembro, os agentes da ameaça começaram a usá-lo em ataques e a modificá-lo para expandir suas capacidades e dificultar a detecção, com as variantes recém-compiladas começando a surgir em meados de janeiro.
Novas amostras continuaram a surgir durante o primeiro semestre do ano, e vários agentes de ameaças começaram a empregar variantes do SapphireStealer em ataques, explica a Cisco.
A maioria das modificações observadas se concentrou em melhorar as capacidades de exfiltração de dados do malware e no recebimento de alertas sobre novas infecções.
“Como esse malware é de código aberto e é usado por vários agentes de ameaças distintos, grande parte dessa atividade de desenvolvimento ocorreu de forma independente e novas funcionalidades não estão presentes em clusters de amostra associados a outros agentes de ameaças”, observa a Cisco.
Uma das amostras observadas executou a exfiltração de dados usando a API webhook do Discord, enquanto outras amostras notificaram os invasores sobre novas infecções, enviando dados de log por meio da API de postagem do Telegram. Outras variantes foram modificadas para direcionar diferentes extensões de arquivo para exfiltração.
“Durante nossa análise de outras amostras do SapphireStealer ao longo do tempo, observamos evidências repetidas de que vários agentes de ameaças tomaram medidas para agilizar as operações do malware, refatorar o código significativamente e melhorar a funcionalidade principal do ladrão”, afirma Cisco.
Algumas das amostras observadas tentaram usar o downloader de malware FUD-Loader, que foi lançado no GitHub em 2 de janeiro, cerca de uma semana após a publicação do código-fonte do SapphireStealer. O downloader também foi usado por DcRat, njRAT, DarkComet, AgentTesla e outros operadores de malware.
Durante a investigação de uma das amostras, os pesquisadores da Cisco descobriram credenciais codificadas e informações de contas SMTP pessoalmente identificáveis que lhes permitiram identificar contas pessoais associadas ao ator da ameaça, incluindo contas no Steam e em um fórum freelancer em russo.
“Esta conta estava sendo usada para anunciar serviços freelance de desenvolvimento web. O perfil do usuário também lista o domínio observado hospedando amostras do SapphireStealer e vários componentes de dependência recuperados para analisar bancos de dados de credenciais e exfiltrar os dados”, observa Cisco.
