SapphireStealer adlı açık kaynaklı .NET tabanlı bir bilgi hırsızı kötü amaçlı yazılım, yeteneklerini geliştirmek ve kendi ısmarlama varyantlarını oluşturmak için birden fazla kuruluş tarafından kullanılıyor.
Cisco Talos araştırmacısı Edmund Brumaghin, “SapphireStealer gibi bilgi çalan kötü amaçlı yazılımlar, kurumsal kimlik bilgileri de dahil olmak üzere hassas bilgileri elde etmek için kullanılabilir ve bu bilgiler genellikle casusluk veya fidye yazılımı/şantajla ilgili operasyonlar da dahil olmak üzere ek saldırılar için erişimden yararlanan diğer tehdit aktörlerine yeniden satılır” dedi.
Zaman içinde, hem finansal motivasyona sahip hem de ulus devlet aktörlerinin çeşitli saldırı türlerini gerçekleştirmek için hırsız kötü amaçlı yazılım tedarikçilerinin hizmetlerini kullanmasına olanak tanıyan bütün bir ekosistem gelişti.
Bu açıdan bakıldığında, bu tür kötü amaçlı yazılımlar yalnızca hizmet olarak siber suç (CaaS) modelinin bir evrimini temsil etmekle kalmıyor, aynı zamanda diğer tehdit aktörlerine fidye yazılımı dağıtmak, veri hırsızlığı yapmak ve diğer kötü niyetli siber faaliyetler için çalınan verilerden para kazanma imkanı da sunuyor.
SapphireStealer, dark web’de giderek artan bir şekilde ortaya çıkan, ana bilgisayar bilgilerini, tarayıcı verilerini, dosyaları, ekran görüntülerini toplama ve Basit Posta Aktarım Protokolü (SMTP) aracılığıyla verileri bir ZIP dosyası biçiminde dışarı aktarma özellikleriyle donatılmış diğer hırsız kötü amaçlı yazılımlara çok benziyor.
Ancak kaynak kodunun Aralık 2022’nin sonlarında ücretsiz olarak yayınlanmış olması, kötü niyetli kişilerin kötü amaçlı yazılımı denemelerine ve tespit edilmesini zorlaştırmalarına olanak sağladı. Buna Discord web kancası veya Telegram API’si kullanarak esnek veri sızma yöntemlerinin eklenmesi de dahildir.
Brumaghin, “Bu tehdidin birden fazla varyantı halihazırda vahşi doğada bulunuyor ve tehdit aktörleri zaman içinde verimliliğini ve etkinliğini geliştiriyor” dedi.
Kötü amaçlı yazılım yazarı ayrıca, saldırgan kontrolündeki dağıtım sunucularından ek ikili yüklerin alınmasını mümkün kılan FUD-Loader kod adlı bir .NET kötü amaçlı yazılım indiricisini de kamuoyuna duyurdu.
Talos, kötü amaçlı yazılım indiricisinin DCRat, njRAT, DarkComet ve Agent Tesla gibi uzaktan yönetim araçlarını sunmak için vahşi doğada kullanıldığını tespit ettiğini söyledi.
Bu açıklama, Zscaler’in Agniane Stealer adlı, kimlik bilgilerini, sistem bilgilerini, tarayıcılardan oturum ayrıntılarını, Telegram, Discord ve dosya aktarım araçlarının yanı sıra 70’ten fazla kripto para birimi uzantısı ve 10 cüzdandan veri yağmalayabilen başka bir hırsızlık kötü amaçlı yazılımının ayrıntılarını paylaşmasından bir haftadan biraz daha uzun bir süre sonra geldi.
Çeşitli dark web forumlarında ve bir Telegram kanalında ayda 50 dolara (ömür boyu lisans yok) satışa sunuluyor.
Güvenlik araştırmacısı Mallikarjun Piddannavar, “Agniane Stealer’dan sorumlu tehdit aktörleri, kötü amaçlı yazılımın işlevselliğini ve kaçamak özelliklerini korumak ve düzenli olarak güncellemek için paketleyicileri kullanıyor” dedi.
