Os cibercriminosos estão explorando as capacidades de um infostealer de código aberto chamado “SapphireStealer”, desenvolvendo uma legião de variantes que estão ajudando a democratizar o cenário do crime cibernético quando se trata de realizar ataques de roubo de dados.
Desde que um hacker de língua russa chamado Roman Maslov o publicou pela primeira vez na Web pública no final do ano passado, os hackers têm adotado o SapphireStealer, mexendo nele e lançando novas versões em repositórios públicos. Ele criou um ciclo de feedback reforçado onde o malware fica cada vez mais forte e mais invasores são atraídos para ele, o que pode levar a consequências mais perigosas no futuro.
“Você tem um grande grupo de agentes de ameaças interessados em roubar credenciais, tokens de acesso, nomes de usuário e senhas”, diz Edmund Brumaghin, pesquisador de ameaças do Cisco Talos, que em 31 de agosto publicou uma postagem no blog sobre SapphireStealer e seus muitos contribuidores. “Então eles estão monetizando esses dados, o que pode levar a tipos de ataques de maior impacto”.
O que é SapphireStealer?
No dia de Natal de 2022, crianças de todo o mundo desceram correndo para abrir os presentes do Papai Noel. Os parceiros abriram presentes de pessoas importantes. E no GitHub, os cibercriminosos receberam um presente próprio: “Um simples stiller [sic] com o envio de logs para o seu EMAIL”, cortesia de r3vengerx0 (Maslov).
O “stiller” (stealer) foi escrito em .NET e é gratuito para qualquer pessoa baixar. Simples, mas eficaz, deu até mesmo a hackers não técnicos a capacidade de capturar arquivos nos formatos mais populares – .pdf, .doc, .jpg, etc. – bem como capturas de tela e credenciais de navegadores Chromium como Google Chrome, Microsoft Edge, e Yandex. Ele simplesmente empacotou essas informações em um e-mail e as enviou de volta aos adversários junto com várias informações sobre a máquina visada: endereço IP, versão do sistema operacional e assim por diante. Finalmente, após a exfiltração, o SapphireStealer exclui evidências de sua atividade e encerra.
Tudo isso foi muito bom, mas, como a listagem do GitHub de r3vengerx0, havia problemas para resolver. “Havia algum fluxo de execução de código supérfluo ocorrendo – instruções supérfluas que não eram exatamente o que você esperaria de uma base de código eficiente. Houve também alguns erros tipográficos em certos pontos do código”, explica Brumaghin.
Isso começou a mudar a partir de meados de janeiro.
Como o SapphireStealer evoluiu
Logo após as férias, novas variantes do SapphireStealer começaram a surgir, que limparam (se não refatoraram significativamente) o código e melhoraram sua funcionalidade principal. Algumas variantes, por exemplo, ampliaram a lista de formatos de arquivo dos quais o SapphireStealer poderia extrair.
Outra variante substituiu a função de e-mail pela API webhook do Discord. Vários outros surgiram com a capacidade de alertar os invasores sobre novas infecções, transmitindo dados de log por meio de uma API do Telegram.
Ao longo do primeiro semestre de 2023, o SapphireStealer tornou-se mais robusto, multifacetado e perigoso, mas também mais acessível. “A barreira de entrada para o roubo de informações continua a diminuir com a introdução de ladrões de código aberto como o SapphireStealer. Você não precisa saber codificar. Você não precisa saber segurança operacional ou algo parecido”, Brumaghin diz.
À medida que o SapphireStealer cresce e se espalha, ele poderá facilmente permitir ataques mais sérios para empresas maiores.
“Uma organização pode não tratar uma ameaça de roubo de informações no mesmo nível que outra ameaça como, digamos, ransomware”, explica Brumaghin. “Mas muitas vezes são precursores de coisas como ransomware e espionagem, porque um adversário obterá credenciais de um ladrão de informações e depois monetizará essas credenciais, vendendo-as a outros atores de ameaças que poderão então usar esse acesso para realizar atividades pós-comprometimento, trabalhando em direção a alguns de seus objetivos de missão de longo prazo.”
Ele conclui: “As organizações precisam estar cientes dessa relação. Essas ameaças estão se tornando mais interligadas de várias maneiras, à medida que a economia do crime cibernético continua a amadurecer e a crescer”.
FONTE: DARKREADING