SapphireStealer é uma dessas novas informações ladrão para roubar vários bancos de dados de credenciais de navegador e arquivos contendo usuários’ informação sensível. A base de código do SapphireStealer foi tornada pública no GitHub em 25 de dezembro, 2022.
De acordo com a pesquisa, SapphireStealer pode roubar uma ampla gama de informações do sistema alvo, e ser flexível em métodos de configuração e evasão. Os invasores podem usar as informações roubadas para lançar ataques como espionagem ou exigir pagamentos de resgate por meio de extorsão.
Como funciona o SapphireStealer?
Como muitos outros malwares que surgiram recentemente na dark web, SapphireStealer foi projetado para coletar informações sobre o host, incluindo dados do navegador, arquivos, e capturas de tela. Os dados roubados foram então exfiltrados como um arquivo ZIP por meio de um Simple Mail Transfer Protocol (SMTP).
O que diferencia o SapphireStealer é que seu código-fonte foi divulgado em dezembro 2022, tornando mais fácil para os invasores experimentarem o malware e evitarem a detecção. Eles até adicionaram nova exfiltração de dados métodos como usar um webhook Discord ou API Telegram.
SapphireStealer é escrito em .NET e oferece funcionalidade simples, mas eficaz. As informações que ele pode roubar incluem informações do host, capturas de tela, credenciais do navegador em cache, e arquivos que correspondem a uma lista predefinida de extensões de arquivo armazenadas no sistema.
Após a execução, o malware verifica se algum navegador processos estão atualmente em execução no sistema. Em seguida, ele verifica a lista de processos em execução em busca de nomes que correspondam aos seguintes:
- cromada
- Yandex
- MS Borda
- Ópera
Se detectar alguma correspondência, o malware encerra os processos usando Process.Kill(). Aqui está um exemplo de trecho de código que mostra como realizar esta tarefa specifically for Google Chrome.
Um downloader de malware .NET chamado FUD-Loader foi tornado público pelo autor do malware. Este downloader funciona como um complemento para o Módulo SapphireStealer, tornando-o capaz de entregar outros malwares. Ele também permite que você receba cargas binárias adicionais de servidores controlados por intrusos. O downloader de malware tem sido usado para fornecer ferramentas de administração remota como DCRat, njRAT, DarkComet, e Agente Tesla.
Como evitar ataques do SapphireStealer ?
Aqui estão algumas dicas para reduzir o risco de ataques do SapphireStealer e ladrões semelhantes:
Instalar atualizações
É crucial atualizar imediatamente o sistema operacional, navegador, e outras aplicações para minimizar o risco dos infostealers sendo distribuído através de vulnerabilidades conhecidas do navegador.
Use autenticação multifator
Tendo Autenticação multifator (AMF) ativado é uma medida de segurança eficaz na proteção de contas, ferramentas, sistemas, e repositórios de dados contra acesso não autorizado. Se um intruso consegue roubar seu login credenciais, MFA solicitará uma camada secundária de autenticação, tornando mais desafiador para eles entrar na conta comprometida. Adicionalmente, o armazenamento seguro de senhas pode ser uma opção complementar útil para garantir a máxima proteção.
Evite software pirata
Usando pirata software pode ser perigoso pois geralmente contém malware. Piratas fazem isso para ganhar dinheiro. É sempre melhor usar aplicativos legítimos. Hoje em dia, há muitos gratuitos, grátis, e alternativas de código aberto disponíveis que eliminam a necessidade de correr o risco de usar software pirata.