Categorie
Sicurezza Informatica

SapphireStealer diventa open-source e attira l’attenzione degli aggressori

Tempo di lettura: 2 minuti. SapphireStealer, uno strumento di furto di informazioni, diventa open-source e attira l’attenzione degli aggressori, con varie modifiche e adattamenti nel panorama delle minacce.

Tempo di lettura: 2 minuti.

Gli strumenti di furto di informazioni sono diventati sempre più popolari nel panorama delle minacce negli ultimi anni. Cisco Talos ha recentemente osservato un aumento di nuovi strumenti di questo tipo offerti in vendita o in affitto su vari forum e mercati sotterranei.

Emergenza di SapphireStealer

SapphireStealer è un esempio di un nuovo strumento di furto di informazioni, progettato principalmente per facilitare il furto di varie basi di dati delle credenziali dei browser e file che possono contenere informazioni sensibili degli utenti. Il codice sorgente di SapphireStealer è stato pubblicato su GitHub il 25 dicembre 2022. Dopo la pubblicazione, gli attori delle minacce hanno iniziato a sperimentare con questo strumento, estendendolo per supportare funzionalità aggiuntive e rendendo più difficile la rilevazione delle infezioni.

Funzionalità di SapphireStealer

SapphireStealer, scritto in .NET, offre funzionalità semplici ma efficaci per rubare informazioni sensibili dai sistemi infetti, tra cui informazioni sull’host, screenshot, credenziali del browser e file memorizzati sul sistema che corrispondono a un elenco predefinito di estensioni di file. Una volta raccolte le informazioni, vengono inviate all’attaccante tramite il protocollo SMTP.

Evoluzione e variazioni di SapphireStealer

Dalla pubblicazione iniziale, sono state osservate diverse modifiche apportate da vari attori delle minacce. La maggior parte dello sforzo di sviluppo sembra essere stato concentrato su una maggiore flessibilità nella raccolta dei dati e nell’alerting per gli aggressori. In alcuni casi, è stato osservato l’uso dell’API webhook di Discord per l’esfiltrazione dei dati, mentre in altri, l’API di Telegram.

FUD-Loader e infezioni multi-fase

In alcuni casi, è stato osservato l’uso di un downloader di malware chiamato FUD-Loader, anch’esso disponibile tramite lo stesso account GitHub. Questo downloader è stato utilizzato per recuperare ulteriori payload binari dai server di distribuzione controllati dagli aggressori.

Studio di caso sulla sicurezza operativa

In un cluster di attività di malware analizzato, sono stati osservati diversi errori da parte dell’attore della minaccia nel mantenere una solida sicurezza operativa. Questi errori hanno permesso di identificare potenzialmente l’attore della minaccia e di collegarlo a vari account personali.

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version