Эксперты Cisco Talos обнаружили, что опенсорсный инфостилер SapphireStealer, исходники которого можно найти во множестве публично доступных репозиториев, используется многими злоумышленниками для создания собственного вредоносного ПО.
SapphireStealer во многом похож на других инфостилеров: он основан на .NET и оснащен функциями для сбора информации о хосте, данных из браузера (Chrome, Opera, Brave, Microsoft Edge и так далее), файлов, а также способен делать снимки экрана и похищать данные в виде файлов ZIP через SMTP.
После того как исходный код малвари был опубликован в открытом доступе в конце декабря 2022 года, злоумышленники стали экспериментировать с вредоносом, модифицируя его кодовую базу, что теперь дополнительно затрудняет обнаружение.
В целом изменения, вносимые другими хакерами, в основном направлены на упрощение процесса кражи данных и информирование хакеров о новых заражениях. Некоторые обновления также меняют типы целевых файлов для малвари или оптимизируют работу вредоносного ПО. Например, новые варианты SapphireStealer обзавелись гибкими методами эксфильтрации данных, в том числе с использованием веб-хуков Discord или API Telegram.
Отмечается, что некоторые из этих обновлений содержали ошибки и позволили исследователям получить доступ к информации, позволяющей идентифицировать атакующих.
В настоящее время исследователи отслеживают ряд вариантов SapphireStealer, используемые несколькими группами злоумышленников. В ходе атак этой малвари обычно похищается конфиденциальная информация, включая корпоративные учетные данные, которая затем перепродается другим преступникам, «которые используют доступ для дополнительных атак, включая операции, связанные со шпионажем или вымогательством».
«SapphireStealer — хороший пример последствий публичного раскрытия исходных кодов вредоносного ПО, поскольку все, кто может скачать их и отредактировать, могут быстро внедрять и разрабатывать новые варианты [малвари]», — говорят специалисты.
Исследователи отмечают, что автор SapphireStealer также опубликовал в открытом доступе загрузчик малвари FUD-Loader, который позволяет получать дополнительные бинарные полезные нагрузки с серверов злоумышленников. Эксперты сообщают, что этот загрузчик широко применяется хакерами для доставки таких вредоносов, как DCRat, njRAT, DarkComet и Agent Tesla.
Эксперты резюмируют, что легкодоступность опенсорсных вредоносных программ заметно снижает барьер для входа в финансово мотивированную киберпреступность, который и так продолжает понижаться с течением времени.
