Un malware info stealer basado en .NET de código abierto, llamado SapphireStealer, está siendo utilizado por varias entidades para mejorar sus capacidades y crear sus propias variantes personalizadas.
Con el tiempo se ha desarrollado todo un ecosistema que permite a los actores motivados financieramente y a los estados-nación utilizar los servicios de los proveedores de malware ladrón para llevar a cabo diversos tipos de ataques.
Visto desde ese punto de vista, dicho malware no solo representa una evolución del modelo de cibercrimen como servicio (CaaS), sino que también ofrece otros actores de amenazas para monetizar los datos robados para distribuir ransomware, realizar el robo de datos y otras actividades cibernéticas maliciosas.
SapphireStealer es muy parecido a otros programas maliciosos para ladrones que han surgido cada vez más en la web oscura, equipados con funciones para recopilar información del host, datos del navegador, archivos, capturas de pantalla y filtrar los datos en forma de un archivo ZIP a través del Protocolo simple de transferencia de correo (SMTP).
Pero el hecho de que su código fuente se publicara de forma gratuita a fines de diciembre de 2022 ha permitido a los atacantes experimentar con el malware y dificultar su detección. Esto incluye la adición de métodos flexibles de exfiltración de datos utilizando un webhook de Discord o una API de Telegram.
“Múltiples variantes de esta amenaza ya están en la naturaleza, y los actores de amenazas están mejorando su eficiencia y efectividad con el tiempo”, dijo Brumaghin.
El autor del malware también ha hecho público un descargador de malware .NET, con nombre en código FUD-Loader, que permite recuperar cargas binarias adicionales de servidores de distribución controlados por atacantes.
Talos dijo que detectó que el descargador de malware se estaba utilizando en la naturaleza para entregar herramientas de administración remota como DCRat, njRAT, DarkComet y Agent Tesla.
La revelación se produce poco más de una semana después de que Zscaler compartiera detalles de otro malware ladrón llamado Agniane Stealer que es capaz de saquear credenciales, información del sistema, detalles de sesión de navegadores, Telegram, Discord y herramientas de transferencia de archivos, así como datos de más de 70 extensiones de criptomonedas y 10 billeteras.
Se ofrece a la venta por $ 50 al mes (sin licencia de por vida) en varios foros de la web oscura y un canal de Telegram.