网络犯罪分子联手升级“SapphireStealer”恶意软件

一款不需要编程技能就能用的信息窃取软件被一个黑客放到了 GitHub 上,它就像一颗宝石一样。接着,一个社区出现了,他们不停地优化代码,创造出更多更稳定的特性。
网络犯罪分子联手升级“SapphireStealer”恶意软件

一种名为“SapphireStealer”的开源信息窃取软件被网络犯罪分子大肆利用,他们开发了许多变种,帮助他们在进行数据盗窃攻击时平均了网络犯罪的竞争环境。

自从去年年底,一个叫 Roman Maslov 的俄语黑客首次把它发布到公共网络上后,黑客们就开始使用 SapphireStealer,对它进行修改,并把新版本放到公共仓库中。这就形成了一个正向反馈循环,恶意软件变得越来越强大,吸引了更多的攻击者,可能导致更严重的后果。

思科塔洛斯(Cisco Talos)的威胁研究员 Edmund Brumaghin 在 8 月 31 日发表了一篇关于 SapphireStealer 及其众多贡献者的博客文章,他说:“你有一大群威胁行为者,他们对盗取凭证、访问令牌、用户名、密码感兴趣。然后他们利用这些数据赚钱,这可能导致更高影响的攻击类型。”

什么是 SapphireStealer?

2022 年的圣诞节,世界各地的孩子们跑下楼去拆开圣诞老人送的礼物。伴侣们互相打开对方的礼物。而在 GitHub 上,网络犯罪分子也收到了一份属于他们自己的礼物:“一个简单的 stiller [sic],可以把日志发送到你的 EMAIL”,这是 r3vengerx0(Maslov)的贡献。

这个“stiller”(窃取器)是用 .NET 编写的,任何人都可以免费下载。它简单但有效,让即使是非技术型的黑客也能够获取大多数流行格式的文件 —— .pdf, .doc, .jpg 等等 —— 以及屏幕截图和来自 Chromium 浏览器(如 Google Chrome, Microsoft Edge 和 Yandex)的凭证。它只是把这些信息打包成一封邮件,然后把它发回给对手,还附上了目标机器的各种信息:IP 地址、操作系统版本等等。最后,在数据窃取之后,SapphireStealer 删除了它活动的证据并终止了。

这一切都很好,但是,就像 r3vengerx0 的 GitHub 列表一样,还有一些问题需要解决。“有一些多余的代码执行流程发生了 —— 一些不太符合高效代码库期望的多余指令。在代码的某些地方也有一些拼写错误,”Brumaghin 解释说。

这种情况从 1 月中旬开始改变了。

SapphireStealer 的演变过程

节日过后不久,SapphireStealer 的新变种就开始出现了,它们优化了(如果不是大幅重构的话)代码,并增强了它的核心功能。比如,有些变种扩展了 SapphireStealer 能够获取的文件格式的列表。

另一种变种用 Discord webhook API 替换了邮件功能。还有几种变种能够通过 Telegram API 向攻击者发送新感染的日志数据,以提醒他们。

在 2023 年上半年,SapphireStealer 变得更加强大、多面和危险,但也更加易用。“进入信息窃取领域的门槛随着像 SapphireStealer 这样的开源窃取器的出现而不断降低。你不需要懂得编程。你也不需要懂得操作安全或者其他什么,”Brumaghin 说。

随着 SapphireStealer 的发展和传播,它可能轻易地为更大的企业带来更严重的攻击。

“一个组织可能不会把信息窃取威胁和其他威胁,比方说勒索软件,放在同一个水平上看待,”Brumaghin 解释说。“但它们往往是像勒索软件和间谍活动这样的事情的前兆,因为一个敌人会用信息窃取器获取凭证,然后把它们卖给其他威胁行为者,他们可以利用这个访问权限进行后期妥协活动,朝着他们的长期目标前进。”

他总结说:“组织需要意识到这种关系。这些威胁在很多方面变得更加相互关联,随着网络犯罪经济的不断成熟和增长。”

推荐阅读:

保险成本增加,保障内容减少,但保单依然重要

Genesis IAB Market为暗网带来了提升。

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20