Sommario
Gli strumenti di furto di informazioni sono diventati sempre più popolari nel panorama delle minacce negli ultimi anni. Cisco Talos ha recentemente osservato un aumento di nuovi strumenti di questo tipo offerti in vendita o in affitto su vari forum e mercati sotterranei.
Emergenza di SapphireStealer
SapphireStealer è un esempio di un nuovo strumento di furto di informazioni, progettato principalmente per facilitare il furto di varie basi di dati delle credenziali dei browser e file che possono contenere informazioni sensibili degli utenti. Il codice sorgente di SapphireStealer è stato pubblicato su GitHub il 25 dicembre 2022. Dopo la pubblicazione, gli attori delle minacce hanno iniziato a sperimentare con questo strumento, estendendolo per supportare funzionalità aggiuntive e rendendo più difficile la rilevazione delle infezioni.
Funzionalità di SapphireStealer
SapphireStealer, scritto in .NET, offre funzionalità semplici ma efficaci per rubare informazioni sensibili dai sistemi infetti, tra cui informazioni sull’host, screenshot, credenziali del browser e file memorizzati sul sistema che corrispondono a un elenco predefinito di estensioni di file. Una volta raccolte le informazioni, vengono inviate all’attaccante tramite il protocollo SMTP.
Evoluzione e variazioni di SapphireStealer
Dalla pubblicazione iniziale, sono state osservate diverse modifiche apportate da vari attori delle minacce. La maggior parte dello sforzo di sviluppo sembra essere stato concentrato su una maggiore flessibilità nella raccolta dei dati e nell’alerting per gli aggressori. In alcuni casi, è stato osservato l’uso dell’API webhook di Discord per l’esfiltrazione dei dati, mentre in altri, l’API di Telegram.
FUD-Loader e infezioni multi-fase
In alcuni casi, è stato osservato l’uso di un downloader di malware chiamato FUD-Loader, anch’esso disponibile tramite lo stesso account GitHub. Questo downloader è stato utilizzato per recuperare ulteriori payload binari dai server di distribuzione controllati dagli aggressori.
Studio di caso sulla sicurezza operativa
In un cluster di attività di malware analizzato, sono stati osservati diversi errori da parte dell’attore della minaccia nel mantenere una solida sicurezza operativa. Questi errori hanno permesso di identificare potenzialmente l’attore della minaccia e di collegarlo a vari account personali.
