SapphireStealer是一个开源的信息窃取软件,自去年公开亮相以来,它的威胁越来越大。这种恶意软件旨在窃取敏感数据,包括公司凭证,并且已经看到各种威胁参与者积极使用和修改。
SapphireStealer最初于2022年12月25日在GitHub上发布。该恶意软件的目标是浏览器凭证数据库和受感染系统上的特定文件类型。
根据思科Talos上周发布的一份报告,SapphireStealer自首次亮相以来经历了重大演变,产生了多种变体。
该恶意软件的核心功能包括收集主机信息、截屏、获取缓存的浏览器凭据以及从受害者的系统中收集带有预定义扩展名的文件。在执行时,SapphireStealer终止匹配特定名称的浏览器进程,如Chrome, Yandex和Opera。
在此之后,恶意软件从各种浏览器应用程序(包括Chrome, Opera, Microsoft Edge等)中定位并提取凭据信息。这些被盗数据存储在一个名为Passwords.txt的文本文件中。此外,恶意软件捕获屏幕截图,并从受害者的桌面文件夹收集特定的文件类型。
一旦收集到被盗数据,就会将其压缩成存档文件,并通过简单邮件传输协议(SMTP)传输给攻击者。发送的邮件包含主机相关信息,如IP地址、主机名、屏幕分辨率、操作系统版本和CPU架构。
自发布以来,sapphhirestealer已经看到了不同威胁参与者的显著修改。这些调整包括使用Discord webhook API和Telegram张贴API进行数据泄露,以及扩展收集的目标文件扩展名列表。
此外,一些攻击者使用了GitHub上共享的恶意软件下载器FUD Loader,在多阶段感染过程中交付SapphireStealer。此加载器从攻击者控制的服务器检索额外的二进制有效负载。
在一个案例中,操作安全方面的失误导致威胁行为者的凭据和账户暴露,凸显了那些专业知识有限的人容易进行网络犯罪。
更普遍的是,虽然窃取信息的攻击可能不那么复杂,但它们可以严重破坏企业环境,强调了强有力的网络安全措施的重要性。