В конце прошлого года разработчик нового вредоносного программного обеспечения опубликовал исходные коды на платформе GitHub. С тех пор специалисты из Cisco Talos регулярно обнаруживают случаи использования SapphireStealer и его модификаций в различных кибератаках.
По результатам анализа, это вредоносное ПО, написанное на платформе .NET, имеет небольшие отличия от своих аналогов. Оно собирает информацию о зараженном хосте, ворует учетные данные из браузеров (включая Яндекс Браузер и другие), а также файлы с определенными расширениями и делает скриншоты. Полученная информация упаковывается в ZIP-архив и отправляется по протоколу SMTP.
Украденные данные часто попадают на продажу в теневом интернете. Особенно ценными являются корпоративные учетные записи, так как они могут предоставить доступ к сетям организаций, который может быть использован для шпионажа или вымогательства с использованием шифровального ПО. В ходе исследования экспертам удалось получить образцы SapphireStealer, которые для передачи данных используют API Discord (вебхук) и Telegram.
Автор открыто доступного вредоносного ПО также опубликовал загрузчик FUD-Loader, который используется для многоэтапных атак. В Cisco Talos были обнаружены случаи использования этого загрузчика не только для распространения SapphireStealer, но также для троянов DCRat, njRAT, DarkComet и Agent Tesla.