Исследователи Cisco Talos обнаружили, что открытый инфостилер SapphireStealer, написанный на .NET, стал основой для целой волны производных вредоносных программ. Его исходный код бесплатно выложили в сеть ещё в конце декабря 2022 года — и с тех пор десятки злоумышленников адаптируют его под свои задачи.
Что умеет SapphireStealer
По функциональности программа мало отличается от других стилеров, которые в последние годы наводнили теневой сегмент интернета. Она собирает информацию о заражённом устройстве, данные из браузеров, файлы и скриншоты экрана, упаковывает всё это в ZIP-архив и отправляет злоумышленнику по протоколу SMTP.
Поскольку исходники находятся в открытом доступе, авторы разных версий постоянно дорабатывают вредонос, из-за чего его сложнее детектировать защитным ПО. В частности, в модификациях появились гибкие способы выгрузки украденных данных — через Discord-вебхуки или Telegram API.
«В дикой природе уже встречается несколько вариантов этой угрозы, и злоумышленники со временем повышают её эффективность», — отметил исследователь Cisco Talos Эдмунд Брумагин (Edmund Brumaghin) в отчёте, которым компания поделилась с изданием The Hacker News.
Загрузчик FUD-Loader и связка с RAT-троянами
Тот же автор, что выложил SapphireStealer, опубликовал и отдельный .NET-загрузчик под названием FUD-Loader. Он позволяет скачивать на заражённую машину дополнительные вредоносные модули с серверов, подконтрольных атакующим.
По данным Talos, FUD-Loader уже применяется в реальных атаках для доставки инструментов удалённого администрирования — DCRat, njRAT, DarkComet и Agent Tesla. Эти программы дают злоумышленнику полный контроль над скомпрометированным устройством и открывают путь к дальнейшим этапам атаки: краже корпоративных учётных данных, шпионажу или развёртыванию вымогательского ПО.
Место стилеров в экономике киберпреступности
Брумагин подчёркивает, что подобное ПО — не самоцель, а инструмент монетизации. Украденные корпоративные учётные данные часто перепродаются другим группировкам, которые используют полученный доступ для более масштабных операций, включая шпионаж и вымогательство. По сути, инфостилеры стали частью модели «киберпреступность как услуга» (CaaS): один участник экосистемы ворует данные, другой перепродаёт доступ, третий разворачивает шифровальщик.
Ещё один стилер на рынке — Agniane Stealer
Публикация Talos вышла спустя чуть больше недели после того, как компания Zscaler описала другой стилер — Agniane Stealer. Он умеет красть учётные данные, системную информацию, сессии из браузеров, Telegram, Discord и файлообменников, а также данные из более чем 70 расширений криптокошельков и 10 полноценных кошельков.
Agniane Stealer продаётся на нескольких форумах теневого интернета и в отдельном Telegram-канале по подписке — 50 долларов в месяц, без варианта пожизненной лицензии. Исследователь безопасности Малликарджун Пиданнавар (Mallikarjun Piddannavar) отметил, что операторы Agniane Stealer используют пакеры для регулярного обновления функциональности и техник обхода защиты.
Источник: The Hacker News.