多くの改変版が出てくるSapphireStealer
SapphireStealerというマルウェアがあります。
名前の示す通りこのマルウェアはインフォスティーラーです。
もともとはこれはロシア語を話すハッカーが書いたものでしたが、いまでは大きく広がりを見せています。
- 公開
あるハッカーが作成したマルウェアのコードが、2022年12月にGitHubで公開されました。
そのコードは誰でも参照できる状態で公開されています。
こんな風に概要に説明されています。
「A simple stiller with sending logs to your EMAIL」
stillerはstealerと書くところをtypoすることで機械的に発見されることを回避したものでしょうか。 - SapphireStealerの内容
SapphireStealerは.Netで書かれたコードです。
良く整理されているので、これを基に変更を加えるのは難しくなさそうです。
mainをみるだけで、その概要がわかります。
chromeなどのブラウザの各種情報を取り出す、スクリーンショットを取得する、ファイルの一覧を作成しアーカイブにまとめる、収集したものを外部に送る、自分自身を含めて活動の痕跡をすべて削除する、で終了です。 - 公開物が元となった多数の亜種
犯罪を企てる人たちにとって魅力的な内容だったのか、多くのアクターが公開されたコードを入手しました。
そしてそれぞれの手元で、拡張が行われました。
抽出できるファイル種別が拡張されたり、流出方法を別のものに変更したりといった変更もありました。
改変を加える活動を実施しているのは洗練されたアクターだけではなかったようです。
単純なバグがあるもの、改変者の開発環境の固有の情報をハードコーディングしてしまっているもの、改変者のメールアドレスをハードコーディングしてしまっているもの、などさまざまな残念なものも見つかっています。
いかに多くの人にコードが広がったのか、少し怖くなります。
元のSapphireStealerの公開の意図は何だったのでしょう。
単なるいたずらだったのでしょうか。
それとも、initial access情報の市場を刺激し、そこであふれかえる情報を基にランサムウェア攻撃などのより大きな脅威を開始しようと目論むものなのでしょうか。
SapphireStealerそのものはインフォスティーラーですので、それ自身に自ら感染を行う機構はありません。
なにかのloaderで送り込まれるなどして開始されるものです。
防御側の対策はいつも通りです。
出所の確かでないものには注意して対応する、これが重要ということになりそうです。
参考記事(外部リンク):SapphireStealer: Open-source information stealer enables
credential and data theft
blog.talosintelligence.com/sapphirestealer-goes-open-source/
