Un malware de robo de información basado en .NET de código abierto llamado SapphireStealer está siendo utilizado por múltiples entidades para mejorar sus capacidades y crear sus propias variantes personalizadas.
"Malwares de robo de información como SapphireStealer pueden utilizarse para obtener información sensible, incluyendo credenciales corporativas, que a menudo se revenden a otros actores de amenazas que aprovechan el acceso para llevar a cabo ataques adicionales, incluyendo operaciones relacionadas con el espionaje o el ransomware/extorsión", dijo el investigador de Cisco Talos, Edmund Brumaghin-
Con el tiempo, se ha desarrollado un ecosistema completo que permite tanto a actores motivados financieramente como a actores estatales utilizar servicios de proveedores de malware de robo de información para llevar a cabo diversos tipos de ataques. Visto desde esa perspectiva, este tipo de malware no solo representa una evolución del modelo de ciberdelincuencia como servicio (CaaS), sino que también ofrece a otros actores de amenazas la posibilidad de monetizar los datos robados para distribuir ransomware, llevar a cabo robos de datos y otras actividades cibernéticas maliciosas.
SapphireStealer es muy similar a otros malwares de robo de información que han aparecido cada vez más en la dark web, equipados con caracterÃsticas para recopilar información del host, datos del navegador, archivos, capturas de pantalla y exfiltrar los datos en forma de un archivo ZIP a través del Protocolo de Transferencia de Correo Simple (SMTP).
Pero el hecho de que su código fuente se publicara de forma gratuita a finales de diciembre de 2022 ha permitido a los delincuentes experimentar con el malware y dificultar su detección. Esto incluye la adición de métodos flexibles de exfiltración de datos utilizando un webhook de Discord o la API de Telegram. "Ya existen múltiples variantes de esta amenaza en la naturaleza, y los actores de amenazas están mejorando su eficiencia y efectividad con el tiempo", dijo Brumaghin.
El autor del malware también ha hecho público un descargador de malware .NET, llamado FUD-Loader, que permite recuperar cargas binarias adicionales de servidores de distribución controlados por atacantes. Talos dijo que detectó el descargador de malware siendo utilizado en la naturaleza para entregar herramientas de administración remota como DCRat, njRAT, DarkComet y Agent Tesla.
La divulgación se produce poco más de una semana después de que Zscaler compartiera detalles sobre otro malware de robo de información llamado Agniane Stealer, capaz de saquear credenciales, información del sistema, detalles de sesiones de navegadores, Telegram, Discord y herramientas de transferencia de archivos, asà como datos de más de 70 extensiones de criptomonedas y 10 monederos.
Se ofrece a la venta por $50 al mes (sin licencia de por vida) en varios foros de la dark web y un canal de Telegram. "Los actores de amenazas responsables de Agniane Stealer utilizan empacadores para mantener y actualizar regularmente la funcionalidad y las caracterÃsticas de evasión del malware", dijo el investigador de seguridad Mallikarjun Piddannavar.
¿Quieres saber más?