Diversas entidades están robando datos confidenciales atraves de un software malicioso de código abierto basado en .NET llamado SapphireStealer, dichos datos, suelen ser revendidos a otros grupos de ciberdelincuentes, quienes aprovechan este acceso para llevar a cabo ataques adicionales. Según un informe provisto por Cisco Talos, algunas de las acciones que incluye son, operaciones de espionaje, ransomware y extorsión. Se supo también que, con el tiempo, ha surgido un complejo sistema en el cual tanto actores con motivaciones económicas como naciones-estado utilizaron los servicios de proveedores de software malicioso para llevar a cabo diversos tipos de ataques.

Este malware, no solo representa una evolución en el modelo del «cibercrimen como servicio» (CaaS), sino que también, brinda la oportunidad a otros actores maliciosos de obtener ganancias a partir de los datos robados, ya sea para distribuir ransomware o cualquier otra actividad maliciosa. En base a las investigaciones realizadas, se descubrió la semejanza que guarda este malware con otros programas maliciosos al tener integrado funciones como, recopilación de datos, información de navegadores, archivos, capturas de pantalla y extracción de estos en forma de archivos ZIP a través del Protocolo Simple de Transferencia de Correo (SMTP).

Otra de las detecciones de este programa, detalla Talos, es el uso de herramientas de administración remota como DCRat, njRAT, DarkComet, Agent Tesla y un programa de descarga .NET llamado FUD-Loader que permite descargar cargas binarias adicionales desde servidores controlados por el atacante.

La publicación gratuita de su código fuente a finales de diciembre de 2022 ha permitido a los delincuentes experimentar con el malware y dificultar su detección. Esto ha llevado a la incorporación de métodos flexibles de exfiltración de datos utilizando un webhook de Discord y una API de Telegram.

Dicha publicación se produce poco después de que Zscaler compartiera detalles sobre otro malware ladrón llamado Agniane Stealer, capaz de robar credenciales, información del sistema, detalles de sesiones de navegadores, datos de Telegram, Discord y herramientas de transferencia de archivos, así como información de más de 70 criptomonedas y 10 carteras.

«Los actores detrás de Agniane Stealer utilizan empaquetadores para mantener y actualizar periódicamente las funciones de evasión y características del malware», dijo el investigador Mallikarjun Piddannavar, adhiriendo que, dicho software se ofrece a la venta por 50 dólares en distintos foros de la web oscura y en un canal de Telegram.

Fuente

https://thehackernews.com/2023/08/sapphirestealer-malware-gateway-to.html